DIRECTIVE DU 24 OCTOBRE 1995 SUR LA PROTECTION DES DONNEES PERSONNELLES

lexinter.net

DIRECTIVE DU 24 OCTOBRE 1995 SUR LA PROTECTION DES DONNEES PERSONNELLES
[ DROIT EUROPEEN ] [ DROIT DES MARCHES BOURSIERS ET FINANCIERS ] [ DROIT DE LA CONSOMMATION ] [ DIRECTIVES RELATIVES AU TRANSPORT FERROVIAIRE ] [ DIRECTIVES RELATIVES AUX TELECOMMUNICATIONS ] [ DIRECTIVES RELATIVES A LA TRANSPARENCE DES RELATIONS ENTRE LES ETATS MEMBRES ET LES ETATS ] [ DIRECTIVES RELATIVES A LA PASSATION DES MARCHES ] [ DIRECTIVES RELATIVES AUX SERVICES POSTAUX ] [ DIRECTIVES RELATIVES A L'ENERGIE ] [ EMPLOI ET POLITIQUE SOCIALE ] [ SOCIETE DE L'INFORMATION ] [ DROIT DE LA CONCURRENCE ] [ DROIT JUDICIAIRE ] [ DROIT DE L'ENTREPRISE ] [ DROIT D'AUTEUR ET DROITS VOISINS ]

[ DROIT EUROPEEN ] [ Remonter ] [ DIRECTIVE DU 24 OCTOBRE 1995 SUR LA PROTECTION DES DONNEES PERSONNELLES ] [ DIRECTIVE DU 8 JUIN 2000 SUR LE COMMERCE ELECTRONIQUE ] [ DIRECTIVE DU 22 MAI 2001 SUR L'HARMONISATION DU DROIT D'AUTEUR ET DES DROITS VOISINS DANS LA SOCIETE DE L'INFORMATION ] [ DIRECTIVE DU 7 MARS 2002 RELATIVE AU SERVICE UNIVERSEL ] [ DIRECTIVE VIE PRIVEE ET COMMUNICATIONS ELECTRONIQUES DU 12 JUILLET 2002 ] [ DIRECTIVE DU 16 SEPTEMBRE 2002 SUR LA CONCURRENCE DANS LES MARCHES DES RESEAUX ET DES SERVICES DE COMMUNICATION ] [ DIRECTIVE DU 17 NOVEMBRE 2003 SUR LA REUTILISATION DES DONNEES DU SECTEUR PUBLIC ]

[ Remonter ] [ DISPOSITIONS GENERALES ] [ CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL ] [ RECOURS JURIDICTIONNELS RESPONSABILITE ET SANCTIONS ] [ TRANSFERTS DE DONNEES A CARACTERE PERSONNEL VERS DES PAYS TIERS ] [ CODES DE BONNE CONDUITE ] [ AUTORITE DE CONTROLE ET GROUPE DE PROTECTION ] [ MESURES D'EXECUTION COMMUNAUTAIRE ] [ DIRECTIVE DU 16 SEPTEMBRE 2002 RELATIVE A LA CONCURRENCE DANS LES MARCHES DES RESEAUX ET DES SERVICES DE COMMUNICATIONS ELECTRONIQUES ]

[ DIRECTIVE DU 24 OCTOBRE 1995 SUR LA PROTECTION DES DONNEES PERSONNELLES ] [ DIRECTIVE DU 8 JUIN 2000 SUR LE COMMERCE ELECTRONIQUE ] [ DIRECTIVE DU 22 MAI 2001 SUR L'HARMONISATION DU DROIT D'AUTEUR ET DES DROITS VOISINS DANS LA SOCIETE DE L'INFORMATION ] [ DIRECTIVE DU 7 MARS 2002 RELATIVE AU SERVICE UNIVERSEL ] [ DIRECTIVE VIE PRIVEE ET COMMUNICATIONS ELECTRONIQUES DU 12 JUILLET 2002 ] [ DIRECTIVE DU 16 SEPTEMBRE 2002 SUR LA CONCURRENCE DANS LES MARCHES DES RESEAUX ET DES SERVICES DE COMMUNICATION ] [ DIRECTIVE DU 17 NOVEMBRE 2003 SUR LA REUTILISATION DES DONNEES DU SECTEUR PUBLIC ]

31995L0046
Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Journal officiel n° L 281 du 23/11/1995 p. 0031 - 0050

DIRECTIVE 95/46/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 24 octobre 1995
relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité instituant la Communauté européenne, et notamment son article 100 A,
vu la proposition de la Commission (1),
vu l'avis du Comité économique et social (2),
statuant conformément à la procédure visée à l'article 189 B du traité (3),
(1) considérant que les objectifs de la Communauté, énoncés dans le traité, tel que modifié par le traité sur l'Union européenne, consistent à réaliser une union sans cesse plus étroite entre les peuples européens, à établir des relations plus étroites entre les États que la Communauté réunit, à assurer par une action commune le progrès économique et social en éliminant les barrières qui divisent l'Europe, à promouvoir l'amélioration constante des conditions de vie de ses peuples, à préserver et conforter la paix et la liberté, et à promouvoir la démocratie en se fondant sur les droits fondamentaux reconnus dans les constitutions et les lois des États membres, ainsi que dans la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales;
(2) considérant que les systèmes de traitement de données sont au service de l'homme; qu'ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu'au bien-être des individus;
(3) considérant que l'établissement et le fonctionnement du marché intérieur dans lequel, conformément à l'article 7 A du traité, la libre circulation des marchandises, des personnes, des services et des capitaux est assurée, nécessitent non seulement que des données à caractère personnel puissent circuler librement d'un État membre à l'autre, mais également que les droits fondamentaux des personnes soient sauvegardés;
(4) considérant que, dans la Communauté, il est fait de plus en plus fréquemment appel au traitement de données à caractère personnel dans les divers domaines de l'activité économique et sociale; que les progrès des technologies de l'information facilitent considérablement le traitement et l'échange de ces données;
(5) considérant que l'intégration économique et sociale résultant de l'établissement et du fonctionnement du marché intérieur au sens de l'article 7 A du traité va nécessairement entraîner une augmentation sensible des flux transfrontaliers de données à caractère personnel entre tous les acteurs de la vie économique et sociale des États membres, que ces acteurs soient privés ou publics; que l'échange de données à caractère personnel entre des entreprises établies dans des États membres différents est appelé à se développer; que les administrations des États membres sont appelées, en application du droit communautaire, à collaborer et à échanger entre elles des données à caractère personnel afin de pouvoir accomplir leur mission ou exécuter des tâches pour le compte d'une administration d'un autre État membre, dans le cadre de l'espace sans frontières que constitue le marché intérieur;
(6) considérant, en outre, que le renforcement de la coopération scientifique et technique ainsi que la mise en place coordonnée de nouveaux réseaux de télécommunications dans la Communauté nécessitent et facilitent la circulation transfrontalière de données à caractère personnel;
(7) considérant que les différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée, à l'égard des traitements de données à caractère personnel peuvent empêcher la transmission de ces données du territoire d'un État membre à celui d'un autre État membre; que ces différences peuvent dès lors constituer un obstacle à l'exercice d'une série d'activités économiques à l'échelle communautaire, fausser la concurrence et empêcher les administrations de s'acquitter des responsabilités qui leur incombent en vertu du droit communautaire; que ces différences de niveau de protection résultent de la disparité des dispositions nationales législatives, réglementaires et administratives;
(8) considérant que, pour éliminer les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et libertés des personnes à l'égard du traitement de ces données doit être équivalent dans tous les États membres; que cet objectif, fondamental pour le marché intérieur, ne peut pas être atteint par la seule action des États membres, compte tenu en particulier de l'ampleur des divergences qui existent actuellement entre les législations nationales applicables en la matière et de la nécessité de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d'une manière cohérente et conforme à l'objectif du marché intérieur au sens de l'article 7 A du traité; qu'une intervention de la Communauté visant à un rapprochement des législations est donc nécessaire;
(9) considérant que, du fait de la protection équivalente résultant du rapprochement des législations nationales, les États membres ne pourront plus faire obstacle à la libre circulation entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit à la vie privée; que les États membres disposeront d'une marge de manoeuvre qui, dans le contexte de la mise en oeuvre de la directive, pourra être utilisée par les partenaires économiques et sociaux; qu'ils pourront donc préciser, dans leur législation nationale, les conditions générales de licéité du traitement des données; que, ce faisant, les États membres s'efforceront d'améliorer la protection assurée actuellement par leur législation; que, dans les limites de cette marge de manoeuvre et conformément au droit communautaire, des disparités pourront se produire dans la mise en oeuvre de la directive et que cela pourra avoir des incidences sur la circulation des données tant à l'intérieur d'un État membre que dans la Communauté;
(10) considérant que l'objet des législations nationales relatives au traitement des données à caractère personnel est d'assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et dans les principes généraux du droit communautaire; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu'elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté;
(11) considérant que les principes de la protection des droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la présente directive précisent et amplifient ceux qui sont contenus dans la convention, du 28 janvier 1981, du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel;
(12) considérant que les principes de la protection doivent s'appliquer à tout traitement de données à caractère personnel dès lors que les activités du responsable du traitement relèvent du champ d'application du droit communautaire; que doit être exclu le traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d'adresses;
(13) considérant que les activités visées aux titres V et VI du traité sur l'Union européenne concernant la sécurité publique, la défense, la sûreté de l'État ou les activités de l'État dans le domaine pénal ne relèvent pas du champ d'application du droit communautaire, sans préjudice des obligations incombant aux États membres au titre de l'article 56 paragraphe 2 et des articles 57 et 100 A du traité; que le traitement de données à caractère personnel qui est nécessaire à la sauvegarde du bien-être économique de l'État ne relève pas de la présente directive lorsque ce traitement est lié à des questions de sûreté de l'État;
(14) considérant que, compte tenu de l'importance du développement en cours, dans le cadre de la société de l'information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données constituées par des sons et des images, relatives aux personnes physiques, la présente directive est appelée à s'appliquer aux traitements portant sur ces données;
(15) considérant que les traitements portant sur de telles données ne sont couverts par la présente directive que s'ils sont automatisés ou si les données sur lesquelles ils portent sont contenues ou sont destinées à être contenues dans un fichier structuré selon des critères spécifiques relatifs aux personnes, afin de permettre un accès aisé aux données à caractère personnel en cause;
(16) considérant que les traitements des données constituées par des sons et des images, tels que ceux de vidéo-surveillance, ne relèvent pas du champ d'application de la présente directive s'ils sont mis en oeuvre à des fins de sécurité publique, de défense, de sûreté de l'État ou pour l'exercice des activités de l'État relatives à des domaines du droit pénal ou pour l'exercice d'autres activités qui ne relèvent pas du champ d'application du droit communautaire;
(17) considérant que, pour ce qui est des traitements de sons et d'images mis en oeuvre à des fins de journalisme ou d'expression littéraire ou artistique, notamment dans le domaine audiovisuel, les principes de la directive s'appliquent d'une manière restreinte selon les dispositions prévues à l'article 9;
(18) considérant qu'il est nécessaire, afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l'un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l'autorité du responsable du traitement établi dans un État membre à l'application de la législation de cet État;
(19) considérant que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable; que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard; que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux;
(20) considérant que l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l'État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés;
(21) considérant que la présente directive ne préjuge pas des règles de territorialité applicables en matière de droit pénal;
(22) considérant que les États membres préciseront dans leur législation ou lors de la mise en oeuvre des dispositions prises en application de la présente directive les conditions générales dans lesquelles le traitement de données est licite; que, en particulier, l'article 5, en liaison avec les articles 7 et 8, permet aux États membres de prévoir, indépendamment des règles générales, des conditions particulières pour les traitements de données dans des secteurs spécifiques et pour les différentes catégories de données visées à l'article 8;
(23) considérant que les États membres sont habilités à assurer la mise en oeuvre de la protection des personnes, tant par une loi générale relative à la protection des personnes à l'égard du traitement des données à caractère personnel que par des lois sectorielles telles que celles relatives par exemple aux instituts de statistiques;
(24) considérant que les législations relatives à la protection des personnes morales à l'égard du traitement des données qui les concernent ne sont pas affectées par la présente directive;
(25) considérant que les principes de la protection doivent trouver leur expression, d'une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d'autre part, dans les droits donnés aux personnes dont les données font l'objet d'un traitement d'être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances;
(26) considérant que les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable; que les codes de conduite au sens de l'article 27 peuvent être un instrument utile pour fournir des indications sur les moyens par lesquels les données peuvent être rendues anonymes et conservées sous une forme ne permettant plus l'identification de la personne concernée;
(27) considérant que la protection des personnes doit s'appliquer aussi bien au traitement de données automatisé qu'au traitement manuel; que le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement; que, toutefois, s'agissant du traitement manuel, la présente directive ne couvre que les fichiers et ne s'applique pas aux dossiers non structurés; que, en particulier, le contenu d'un fichier doit être structuré selon des critères déterminés relatifs aux personnes permettant un accès facile aux données à caractère personnel; que, conformément à la définition figurant à l'article 2 point c), les différents critères permettant de déterminer les éléments d'un ensemble structuré de données à caractère personnel et les différents critères régissant l'accès à cet ensemble de données peuvent être définis par chaque État membre; que les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés n'entrent en aucun cas dans le champ d'application de la présente directive;
(28) considérant que tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l'égard des personnes concernées; qu'il doit, en particulier, porter sur des données adéquates, pertinentes et non excessives au regard des finalités poursuivies; que ces finalités doivent être explicites et légitimes et doivent être déterminées lors de la collecte des données; que les finalités des traitements ultérieurs à la collecte ne peuvent pas être incompatibles avec les finalités telles que spécifiées à l'origine;
(29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne;
(30) considérant que, pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée ou être nécessaire à la conclusion ou à l'exécution d'un contrat liant la personne concernée, ou au respect d'une obligation légale, ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, ou encore à la réalisation d'un intérêt légitime d'une personne à condition que ne prévalent pas l'intérêt ou les droits et libertés de la personne concernée; que, en particulier, en vue d'assurer l'équilibre des intérêts en cause, tout en garantissant une concurrence effective, les États membres peuvent préciser les conditions dans lesquelles des données à caractère personnel peuvent être utilisées et communiquées à des tiers dans le cadre d'activités légitimes de gestion courante des entreprises et autres organismes; que, de même, ils peuvent préciser les conditions dans lesquelles la communication à des tiers de données à caractère personnel peut être effectuée à des fins de prospection commerciale, ou de prospection faite par une association à but caritatif ou par d'autres associations ou fondations, par exemple à caractère politique, dans le respect de dispositions visant à permettre aux personnes concernées de s'opposer sans devoir indiquer leurs motifs et sans frais au traitement des données les concernant;
(31) considérant qu'un traitement de données à caractère personnel doit être également considéré comme licite lorsqu'il est effectué en vue de protéger un intérêt essentiel à la vie de la personne concernée;
(32) considérant qu'il appartient aux législations nationales de déterminer si le responsable du traitement investi d'une mission d'intérêt public ou d'une mission relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne soumise au droit public ou au droit privé, telle qu'une association professionnelle;
(33) considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernée; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est mis en oeuvre à certaines fins relatives à la santé par des personnes soumises à une obligation de secret professionnel ou pour la réalisation d'activités légitimes par certaines associations ou fondations dont l'objet est de permettre l'exercice de libertés fondamentales;
(34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes;
(35) considérant, en outre, que le traitement de données à caractère personnel par des autorités publiques pour la réalisation de fins prévues par le droit constitutionnel ou le droit international public, au profit d'associations à caractère religieux officiellement reconnues, est mis en oeuvre pour un motif d'intérêt public important;
(36) considérant que, si, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique suppose, dans certains États membres, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé en raison de l'intérêt public important, à condition que des garanties appropriées soient prévues;
(37) considérant que le traitement de données à caractère personnel à des fins de journalisme ou d'expression artistique ou littéraire, notamment dans le domaine audiovisuel, doit bénéficier de dérogations ou de limitations de certaines dispositions de la présente directive dans la mesure où elles sont nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté d'expression, et notamment la liberté de recevoir ou de communiquer des informations, telle que garantie notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales; qu'il incombe donc aux États membres, aux fins de la pondération entre les droits fondamentaux, de prévoir les dérogations et limitations nécessaires en ce qui concerne les mesures générales relatives à la légalité du traitement des données, les mesures relatives au transfert des données vers des pays tiers ainsi que les compétences des autorités de contrôle, sans qu'il y ait lieu toutefois de prévoir des dérogations aux mesures visant à garantir la sécurité du traitement; qu'il conviendrait également de conférer au moins à l'autorité de contrôle compétente en la matière certaines compétences a posteriori, consistant par exemple à publier périodiquement un rapport ou à saisir les autorités judiciaires;
(38) considérant que le traitement loyal des données suppose que les personnes concernées puissent connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des circonstances de cette collecte;
(39) considérant que certains traitements portent sur des données que le responsable n'a pas collectées directement auprès de la personne concernée; que, par ailleurs, des données peuvent être légitimement communiquées à un tiers, alors même que cette communication n'avait pas été prévue lors de la collecte des données auprès de la personne concernée; que, dans toutes ces hypothèses, l'information de la personne concernée doit se faire au moment de l'enregistrement des données ou, au plus tard, lorsque les données sont communiquées pour la première fois à un tiers;
(40) considérant que, cependant, il n'est pas nécessaire d'imposer cette obligation si la personne concernée est déjà informée; que, en outre, cette obligation n'est pas prévue si cet enregistrement ou cette communication sont expressément prévus par la loi ou si l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés, ce qui peut être le cas pour des traitements à des fins historiques, statistiques ou scientifiques; que, à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices qui peuvent être prises;
(41) considérant que toute personne doit pouvoir bénéficier du droit d'accès aux données la concernant qui font l'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de la licéité de leur traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le droit de connaître la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la personne concernée;
(42) considérant que les États membres peuvent, dans l'intérêt de la personne concernée ou en vue de protéger les droits et libertés d'autrui, limiter les droits d'accès et d'information; qu'ils peuvent, par exemple, préciser que l'accès aux données à caractère médical ne peut être obtenu que par l'intermédiaire d'un professionnel de la santé;
(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;
(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;
(45) considérant que, dans le cas où des données pourraient faire l'objet d'un traitement licite sur le fondement d'un intérêt public, de l'exercice de l'autorité publique ou de l'intérêt légitime d'une personne, toute personne concernée devrait, toutefois, avoir le droit de s'opposer, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que les données la concernant fassent l'objet d'un traitement; que les États membres ont, néanmoins, la possibilité de prévoir des dispositions nationales contraires;
(46) considérant que la protection des droits et libertés des personnes concernées à l'égard du traitement de données à caractère personnel exige que des mesures techniques et d'organisation appropriées soient prises tant au moment de la conception qu'à celui de la mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité et d'empêcher ainsi tout traitement non autorisé; qu'il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l'état de l'art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger;
(47) considérant que, lorsqu'un message contenant des données à caractère personnel est transmis via un service de télécommunications ou de courrier électronique dont le seul objet est de transmettre des messages de ce type, c'est la personne dont émane le message, et non celle qui offre le service de transmission, qui sera normalement considérée comme responsable du traitement de données à caractère personnel contenues dans le message; que, toutefois, les personnes qui offrent ces services seront normalement considérées comme responsables du traitement des données à caractère personnel supplémentaires nécessaires au fonctionnement du service;
(48) considérant que la notification à l'autorité de contrôle a pour objet d'organiser la publicité des finalités du traitement, ainsi que de ses principales caractéristiques, en vue de son contrôle au regard des dispositions nationales prises en application de la présente directive;
(49) considérant que, afin d'éviter des formalités administratives inadéquates, des exonérations ou des simplifications de la notification peuvent être prévues par les États membres pour les traitements de données qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, à condition qu'ils soient conformes à un acte pris par l'État membre qui en précise les limites; que des exonérations ou simplifications peuvent pareillement être prévues par les États membres dès lors qu'une personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées; que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance;
(50) considérant que des exonérations ou simplifications peuvent être prévues pour le traitement de données dont le seul but est de tenir un registre destiné, dans le respect du droit national, à l'information du public et qui est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime;
(51) considérant que, néanmoins, le bénéfice de la simplification ou de l'exonération de l'obligation de notification ne dispense le responsable du traitement de données d'aucune des autres obligations découlant de la présente directive;
(52) considérant que, dans ce contexte, le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante;
(53) considérant que, cependant, certains traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou du fait de l'usage particulier d'une technologie nouvelle; qu'il appartient aux États membres, s'ils le souhaitent, de préciser dans leur législation de tels risques;
(54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l'autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci; que, à la suite de cet examen préalable, l'autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données; qu'un tel examen peut également être effectué au cours de l'élaboration soit d'une mesure législative du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées;
(55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive;
(56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; que la protection des personnes garantie dans la Communauté par la présente directive ne s'oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; que le caractère adéquat du niveau de protection offert par un pays tiers doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;
(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;
(58) considérant que des exceptions à cette interdiction doivent pouvoir être prévues dans certaines circonstances lorsque la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le contexte d'un contrat ou d'une action en justice, lorsque la sauvegarde d'un intérêt public important l'exige, par exemple en cas d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime; que, dans ce cas, un tel transfert ne devrait pas porter sur la totalité des données ni sur des catégories de données contenues dans ce registre; que, lorsqu'un registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert ne devrait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires;
(59) considérant que des mesures particulières peuvent être prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues;
(60) considérant que, en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8;
(61) considérant que les États membres et la Commission, dans leurs domaines de compétence respectifs, doivent encourager les milieux professionnels concernés à élaborer des codes de conduite en vue de favoriser, compte tenu des spécificités du traitement de données effectué dans certains secteurs, la mise en oeuvre de la présente directive dans le respect des dispositions nationales prises pour son application;
(62) considérant que l'institution, dans les États membres, d'autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l'égard du traitement des données à caractère personnel;
(63) considérant que ces autorités doivent être dotées des moyens nécessaires à l'exécution de leurs tâches, qu'il s'agisse des pouvoirs d'investigation et d'intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d'ester en justice; qu'elles doivent contribuer à la transparence du traitement de données effectué dans l'État membre dont elles relèvent;
(64) considérant que les autorités des différents États membres seront appelées à se prêter mutuellement assistance dans la réalisation de leurs tâches afin d'assurer le plein respect des règles de protection dans l'Union européenne;
(65) considérant que, au niveau communautaire, un groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel doit être instauré et qu'il doit exercer ses fonctions en toute indépendance; que, compte tenu de cette spécificité, il doit conseiller la Commission et contribuer notamment à l'application homogène des règles nationales adoptées en application de la présente directive;
(66) considérant que, pour ce qui est du transfert de données vers les pays tiers, l'application de la présente directive nécessite l'attribution de compétences d'exécution à la Commission et l'établissement d'une procédure selon les modalités fixées dans la décision 87/373/CEE du Conseil (1);
(67) considérant qu'un accord sur un modus vivendi concernant les mesures d'exécution des actes arrêtés selon la procédure visée à l'article 189 B du traité est intervenu, le 20 décembre 1994, entre le Parlement européen, le Conseil et la Commission;
(68) considérant que les principes énoncés dans la présente directive et régissant la protection des droits et des libertés des personnes, notamment du droit à la vie privée, à l'égard du traitement des données à caractère personnel pourront être complétés ou précisés, notamment pour certains secteurs, par des règles spécifiques conformes à ces principes;
(69) considérant qu'il convient de laisser aux États membres un délai ne pouvant pas excéder trois ans à compter de l'entrée en vigueur des mesures nationales de transposition de la présente directive, pour leur permettre d'appliquer progressivement à tout traitement de données déjà mis en oeuvre les nouvelles dispositions nationales susvisées; que, afin de permettre un bon rapport coût-efficacité lors de la mise en oeuvre de ces dispositions, les États membres sont autorisés à prévoir une période supplémentaire, expirant douze ans après la date d'adoption de la présente directive, pour la mise en conformité des fichiers manuels existants avec certaines dispositions de la directive; que, lorsque des données contenues dans de tels fichiers font l'objet d'un traitement manuel effectif pendant cette période transitoire supplémentaire, la mise en conformité avec ces dispositions doit être effectuée au moment de la réalisation de ce traitement;
(70) considérant qu'il n'y a pas lieu que la personne concernée donne à nouveau son consentement pour permettre au responsable de continuer à effectuer, après l'entrée en vigueur des dispositions nationales prises en application de la présente directive, un traitement de données sensibles nécessaire à l'exécution d'un contrat conclu sur la base d'un consentement libre et informé avant l'entrée en vigueur des dispositions précitées;
(71) considérant que la présente directive ne s'oppose pas à ce qu'un État membre réglemente les activités de prospection commerciale visant les consommateurs qui résident sur son territoire, dans la mesure où cette réglementation ne concerne pas la protection des personnes à l'égard du traitement de données à caractère personnel;
(72) considérant que la présente directive permet de prendre en compte, dans la mise en oeuvre des règles qu'elle pose, le principe du droit d'accès du public aux documents administratifs,
ONT ARRÊTÉ LA PRÉSENTE DIRECTIVE:

[ DROIT EUROPEEN ] [ DROIT DES MARCHES BOURSIERS ET FINANCIERS ] [ DROIT DE LA CONSOMMATION ] [ DIRECTIVES RELATIVES AU TRANSPORT FERROVIAIRE ] [ DIRECTIVES RELATIVES AUX TELECOMMUNICATIONS ] [ DIRECTIVES RELATIVES A LA TRANSPARENCE DES RELATIONS ENTRE LES ETATS MEMBRES ET LES ETATS ] [ DIRECTIVES RELATIVES A LA PASSATION DES MARCHES ] [ DIRECTIVES RELATIVES AUX SERVICES POSTAUX ] [ DIRECTIVES RELATIVES A L'ENERGIE ] [ EMPLOI ET POLITIQUE SOCIALE ] [ SOCIETE DE L'INFORMATION ] [ DROIT DE LA CONCURRENCE ] [ DROIT JUDICIAIRE ] [ DROIT DE L'ENTREPRISE ] [ DROIT D'AUTEUR ET DROITS VOISINS ]