Accueil > ... > Forum 266297

La Directive européenne 95/46/CE (IV)

27 septembre 2008, 20:28

(suite de III)

SECTION V

DROIT D’ACCÈS DE LA PERSONNE CONCERNÉE AUX DONNÉES

Article 12

Droit d’accès

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :

 la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

 la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

 la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ;

b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

SECTION VI

EXCEPTIONS ET LIMITATIONS

Article 13

Exceptions et limitations

1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :

a) la sûreté de l’État ;

b) la défense ;

c) la sécurité publique ;

d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal ;

f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e) ;

g) la protection de la personne concernée ou des droits et libertés d’autrui.

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n’existe manifestement aucun risque d’atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l’article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n’excédant pas celle nécessaire à la seule finalité d’établissement de statistiques.

SECTION VII

DROIT D’OPPOSITION DE LA PERSONNE CONCERNÉE

Article 14

Droit d’opposition de la personne concernée

Les États membres reconnaissent à la personne concernée le droit :

a) au moins dans les cas visés à l’article 7 points e) et f), de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. En cas d’opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut plus porter sur ces données ;

b) de s’opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection

ou

d’être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation.

Les États membres prennent les mesures nécessaires pour garantir que les personnes concernées ont connaissance de l’existence du droit visé au point b) premier alinéa.

Article 15

Décisions individuelles automatisées

1. Les États membres reconnaissent à toute personne le droit de ne pas être soumise à une décision produisant des effets juridiques à son égard ou l’affectant de manière significative, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc.

2. Les États membres prévoient, sous réserve des autres dispositions de la présente directive, qu’une personne peut être soumise à une décision telle que celle visée au paragraphe 1 si une telle décision :

a) est prise dans le cadre de la conclusion ou de l’exécution d’un contrat, à condition que la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, ait été satisfaite ou que des mesures appropriées, telles que la possibilité de faire valoir son point de vue, garantissent la sauvegarde de son intérêt légitime

ou

b) est autorisée par une loi qui précise les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée.

SECTION VIII

CONFIDENTIALITÉ ET SÉCURITÉ DES TRAITEMENTS

Article 16

Confidentialité des traitements

Toute personne agissant sous l’autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d’obligations légales.

Article 17

Sécurité des traitements

1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que :

 le sous-traitant n’agit que sur la seule instruction du responsable du traitement,

 les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

SECTION IX

NOTIFICATION

Article 18

Obligation de notification à l’autorité de contrôle

1. Les États membres prévoient que le responsable du traitement, ou le cas échéant son représentant, doit adresser une notification à l’autorité de contrôle visée à l’article 28 préalablement à la mise en oeuvre d’un traitement entièrement ou partiellement automatisé ou d’un ensemble de tels traitements ayant une même finalité ou des finalités liées.

2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants :

 lorsque, pour les catégories de traitement qui, compte tenu des données à traiter, ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, ils précisent les finalités des traitements, les données ou catégories de données traitées, la ou les catégories de personnes concernées, les destinataires ou catégories de destinataires auxquels les données sont communiquées et la durée de conservation des données

et/ou

 lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment :

 d’assurer, d’une manière indépendante, l’application interne des dispositions nationales prises en application de la présente directive,

 de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertés des personnes concernées.

3. Les États membres peuvent prévoir que le paragraphe 1 ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

4. Les États membres peuvent prévoir une dérogation à l’obligation de notification ou une simplification de la notification pour les traitements visés à l’article 8 paragraphe 2 point d).

5. Les États membres peuvent prévoir que les traitements non automatisés de données à caractère personnel, ou certains d’entre eux, font l’objet d’une notification, éventuellement simplifiée.

Article 19

Contenu de la notification

1. Les États membres précisent les informations qui doivent figurer dans la notification. Elles comprennent au minimum :

a) le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;

b) la ou les finalités du traitement ;

c) une description de la ou des catégories de personnes concernées et des données ou des catégories de données s’y rapportant ;

d) les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d’être communiquées ;

e) les transferts de données envisagés à destination de pays tiers ;

f) une description générale permettant d’apprécier de façon préliminaire le caractère approprié des mesures prises pour assurer la sécurité du traitement en application de l’article 17.

2. Les États membres précisent les modalités de notification à l’autorité de contrôle des changements affectant les informations visées au paragraphe 1.

Article 20

Contrôles préalables

1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

2. De tels examens préalables sont effectués par l’autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l’autorité de contrôle.

3. Les États membres peuvent aussi procéder à un tel examen dans le cadre de l’élaboration soit d’une mesure du Parlement national, soit d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Article 21

Publicité des traitements

1. Les États membres prennent des mesures pour assurer la publicité des traitements.

2. Les États membres prévoient que l’autorité de contrôle tient un registre des traitements notifiés en vertu de l’article 18.

Le registre contient au minimum les informations énumérées à l’article 19 paragraphe 1 points a) à e).

Le registre peut être consulté par toute personne.

3. En ce qui concerne les traitements non soumis à notification, les États membres prévoient que le responsable du traitement ou une autre instance qu’ils désignent communique sous une forme appropriée à toute personne qui en fait la demande au moins les informations visées à l’article 19 paragraphe 1 points a) à e).

Les États membres peuvent prévoir que la présente disposition ne s’applique pas aux traitements ayant pour seul objet la tenue d’un registre qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.

CHAPITRE III RECOURS JURIDICTIONNELS, RESPONSABILITÉ ET SANCTIONS

Article 22

Recours

Sans préjudice du recours administratif qui peut être organisé, notamment devant l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité judiciaire, les États membres prévoient que toute personne dispose d’un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.

Article 23

Responsabilité

1. Les États membres prévoient que toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d’obtenir du responsable du traitement réparation du préjudice subi.

2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 24

Sanctions

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.

(à suivre)