II. DIRECTIVE 95/46/CE DU 24 OCTOBRE 1995
RELATIVE À LA PROTECTION
DES PERSONNES PHYSIQUES
À L'ÉGARD DU TRAITEMENT DES
DONNÉES À CARACTÈRE
PERSONNEL ET À LA LIBRE
CIRCULATION DE CES DONNÉES
(i) Chapitre premier
DISPOSITIONS
GÉNÉRALES
Article premier
Objet de la directive
1. Les
Etats membres assurent, conformément à la présente
directive, la protection des libertés et droits fondamentaux des
personnes physiques, notamment de leur vie privée, à
l'égard du traitement des données à caractère
personnel.
2. Les Etats membres ne peuvent restreindre ni interdire la libre circulation
des données à caractère personnel entre Etats membres pour
des raisons relatives à la protection assurée en vertu du
paragraphe 1.
Article 2
Définitions
Aux fins
de la présente directive, on entend par :
a) « données à caractère
personnel » : toute information concernant une personne physique
identifiée ou identifiable (personne concernée) ; est
réputée identifiable une personne qui peut être
identifiée, directement ou indirectement, notamment par
référence à un numéro d'identification ou à
un ou plusieurs éléments spécifiques, propres à son
identité physique, physiologique, psychique, économique,
culturelle ou sociale ;
b) « traitement de données à caractère
personnel » (traitement) : toute opération ou ensemble
d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des
données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication
par transmission, diffusion ou toute autre forme de mise à disposition,
le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement
ou la destruction ;
c) « fichier de données à caractère
personnel » (fichier) : tout ensemble structuré de
données à caractère personnel accessibles selon des
critères déterminés, que cet ensemble soit
centralisé, décentralisé ou réparti de
manière fonctionnelle ou géographique ;
d) « responsable du traitement » : la personne
physique ou morale, l'autorité publique, le service ou tout autre
organisme qui, seul ou conjointement avec d'autres, détermine les
finalités et les moyens du traitement de données à
caractère personnel ; lorsque les finalités et les moyens du
traitement sont déterminés par des dispositions
législatives ou réglementaires nationales ou communautaires, le
responsable du traitement ou les critères spécifiques pour le
désigner peuvent être fixés par le droit national ou
communautaire ;
e) « sous-traitement » : la personne physique ou
morale, l'autorité publique, le service ou tout autre organisme qui
traite des données à caractère personnel pour le compte du
responsable du traitement ;
f) « tiers » : la personne physique ou morale,
l'autorité publique, le service ou tout autre organisme autre que la
personne concernée, le responsable du traitement, le sous-traitant et
les personnes qui, placées sous l'autorité directe du responsable
du traitement ou du sous-traitant, sont habilitées à traiter les
données ;
g) « destinataire » : la personne physique ou
morale, l'autorité publique, le service ou tout autre organisme qui
reçoit communication de données, qu'il s'agisse ou non d'un
tiers ; les autorités qui sont susceptibles de recevoir
communication de données dans le cadre d'une mission d'enquête
particulière ne sont toutefois pas considérées comme des
destinataires ;
h) « consentement de la personne
concernée » : toute manifestation de volonté,
libre, spécifique et informée par laquelle la personne
concernée accepte que des données à caractère
personnel la concernant fassent l'objet d'un traitement.
Article 3
Champ d'application
1. La
présente directive s'applique au traitement de données à
caractère personnel, automatisé en tout ou en partie, ainsi qu'au
traitement non automatisé de données à caractère
personnel contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s'applique pas au traitement de
données à caractère personnel :
-- mis en oeuvre pour l'exercice d'activités qui ne relèvent
pas du champ d'application du droit communautaire, telles que celles
prévues aux titres V et VI du traité sur l'Union
européenne, et, en tout état de cause, aux traitements ayant pour
objet la sécurité publique, la défense, la
sûreté de l'Etat (y compris le bien-être économique
de l'Etat lorsque ces traitements sont liés à des questions de
sûreté de l'Etat) et les activités de l'Etat relatives
à des domaines du droit pénal,
-- effectué par une personne physique pour l'exercice
d'activités exclusivement personnelles ou domestiques.
Article 4
Droit national applicable
1.
Chaque Etat membre applique les dispositions nationales qu'il arrête en
vertu de la présente directive aux traitements de données
à caractère personnel lorsque :
a) le traitement est effectué dans le cadre des activités
d'un établissement du responsable du traitement sur le territoire de
l'Etat membre ; si un même responsable du traitement est
établi sur le territoire de plusieurs Etats membres, il doit prendre les
mesures nécessaires pour assurer le respect, par chacun de ses
établissements, des obligations prévues par le droit national
applicable ;
b) le responsable du traitement n'est pas établi sur le territoire
de l'Etat membre mais en un lieu où sa loi nationale s'applique en vertu
du droit international public ;
c) le responsable du traitement n'est pas établi sur le territoire
de la Communauté et recourt, à des fins de traitement de
données à caractère personnel, à des moyens,
automatisés ou non, situés sur le territoire dudit Etat membre,
sauf si ces moyens ne sont utilisés qu'à des fins de transit sur
le territoire de la Communauté.
2. Dans le cas visé au paragraphe 1 point c), le responsable du
traitement doit désigner un représentant établi sur le
territoire dudit Etat membre, sans préjudice d'actions qui pourraient
être introduites contre le responsable du traitement lui-même.
(ii) Chapitre II
CONDITIONS GÉNÉRALES DE
LICÉITÉ DES TRAITEMENTS DE DONNÉES
À
CARACTÈRE PERSONNEL
Article 5
Les Etats membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites.
Section I
Principes relatifs à la
qualité
des données
Article 6
1. Les
Etats membres prévoient que les données à caractère
personnel doivent être :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées,
explicites et légitimes, et ne pas être traitées
ultérieurement de manière incompatible avec ces finalités.
Un traitement ultérieur à des fins historiques, statistiques ou
scientifiques n'est pas réputé incompatible pour autant que les
Etats membres prévoient des garanties appropriées ;
c) adéquates, pertinentes et non excessives au regard des
finalités pour lesquelles elles sont collectées et pour
lesquelles elles sont traitées ultérieurement ;
d) exactes et, si nécessaire, mises à jour ; toutes les
mesures raisonnables doivent être prises pour que les données
inexactes ou incomplètes, au regard des finalités pour lesquelles
elles sont collectées ou pour lesquelles elles sont traitées
ultérieurement, soient effacées ou rectifiées ;
e) conservées sous une forme permettant l'identification des
personnes concernées pendant une durée n'excédant pas
celle nécessaire à la réalisation des finalités
pour lesquelles elles sont collectées ou pour lesquelles elles sont
traitées ultérieurement. Les Etats membres prévoient des
garanties appropriées pour les données à caractère
personnel qui sont conservées au-delà de la période
précitée, à des fins historiques, statistiques ou
scientifiques.
2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1.
Section II
Principes relatifs à la
légitimation des traitements de données
Article 7
Les
Etats membres prévoient que le traitement de données à
caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son
consentement
ou
b) il est nécessaire à l'exécution d'un contrat
auquel la personne concernée est partie ou à l'exécution
de mesures précontractuelles prises à la demande de celle-ci
ou
c) il est nécessaire au respect d'une obligation légale
à laquelle le responsable du traitement est soumis
ou
d) il est nécessaire à la sauvegarde de
l'intérêt vital de la personne concernée
ou
e) il est nécessaire à l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité
publique, dont est investi le responsable du traitement ou le tiers auquel les
données sont communiquées
ou
f) il est nécessaire à la réalisation de
l'intérêt légitime poursuivi par le responsable du
traitement ou par le ou les tiers auxquels les données sont
communiquées, à condition que ne prévalent pas
l'intérêt ou les droits et libertés fondamentaux de la
personne concernée, qui appellent une protection au titre de l'article
1
er
paragraphe 1.
Section III
Catégories particulières
de
traitements
Article 8
Traitements portant sur des catégories
particulières de données
1. Les
Etats membres interdisent le traitement des données à
caractère personnel qui révèlent l'origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou
philosophiques, l'appartenance syndicale, ainsi que le traitement des
données relatives à la santé et à la vie sexuelle.
2. Le paragraphe 1 ne s'applique pas lorsque :
a) la personne concernée a donné son consentement explicite
à un tel traitement, sauf dans le cas où la législation de
l'Etat membre prévoit que l'interdiction visée au paragraphe 1 ne
peut être levée par le consentement de la personne concernée
ou
b) le traitement est nécessaire aux fins de respecter les
obligations et les droits spécifiques du responsable du traitement en
matière de droit du travail, dans la mesure où il est
autorisé par une législation nationale prévoyant des
garanties adéquates
ou
c) le traitement est nécessaire à la défense des
intérêts vitaux de la personne concernée ou d'une autre
personne dans le cas où la personne concernée se trouve dans
l'incapacité physique ou juridique de donner son consentement
ou
d) le traitement est effectué dans le cadre de leurs
activités légitimes et avec des garanties appropriées par
une fondation, une association ou tout autre organisme à but non
lucratif et à finalité politique, philosophique, religieuse ou
syndicale, à condition que le traitement se rapporte aux seuls membres
de cet organisme ou aux personnes entretenant avec lui des contacts
réguliers liés à sa finalité et que les
données ne soient pas communiquées à des tiers sans le
consentement des personnes concernées
ou
e) le traitement porte sur des données manifestement rendues
publiques par la personne concernée ou est nécessaire à la
constatation, à l'exercice ou à la défense d'un droit en
justice.
3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données
est nécessaire aux fins de la médecine préventive, des
diagnostics médicaux, de l'administration de soins ou de traitements ou
de la gestion de services de santé et que le traitement de ces
données est effectué par un praticien de la santé soumis
par le droit national ou par des réglementations arrêtées
par les autorités nationales compétentes au secret professionnel,
ou par une autre personne également soumise à une obligation de
secret équivalente.
4. Sous réserve de garanties appropriées, les Etats membres
peuvent prévoir, pour un motif d'intérêt public important,
des dérogations autres que celles prévues au paragraphe 2, soit
par leur législation nationale, soit sur décision de
l'autorité de contrôle.
5. Le traitement de données relatives aux infractions, aux condamnations
pénales ou aux mesures de sûreté ne peut être
effectué que sous le contrôle de l'autorité publique ou si
des garanties appropriées et spécifiques sont prévues par
le droit national, sous réserve des dérogations qui peuvent
être accordées par l'Etat membre sur la base de dispositions
nationales prévoyant des garanties appropriées et
spécifiques. Toutefois, un recueil exhaustif des condamnations
pénales ne peut être tenu que sous le contrôle de
l'autorité publique.
Les Etats membres peuvent prévoir que les données relatives aux
sanctions administratives ou aux jugements civils sont également
traitées sous le contrôle de l'autorité publique.
6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5
sont notifiées à la Commission.
7. Les Etats membres déterminent les conditions dans lesquelles un
numéro national d'identification ou tout autre identifiant de
portée générale peut faire l'objet d'un traitement.
Article 9
Traitements de données
à
caractère personnel et liberté d'expression
Les Etats membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s'avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d'expression.
Section IV
Information de la personne
concernée
Article 10
Informations en cas de collecte de données
auprès de la personne concernée
Les
Etats membres prévoient que le responsable du traitement ou son
représentant doit fournir à la personne auprès de laquelle
il collecte des données la concernant au moins les informations
énumérées ci-dessous, sauf si la personne en est
déjà informée :
a) l'identité du responsable du traitement et, le cas
échéant, de son représentant ;
b) les finalités du traitement auquel les données sont
destinées ;
c) toute information supplémentaire telle que :
-- les destinataires ou les catégories de destinataires des
données,
-- le fait de savoir si la réponse aux questions est obligatoire ou
facultative ainsi que les conséquences éventuelles d'un
défaut de réponse,
-- l'existence d'un droit d'accès aux données la concernant
et de rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières
dans lesquelles les données sont collectées, ces informations
supplémentaires sont nécessaires pour assurer à
l'égard de la personne concernée un traitement loyal des
données.
Article 11
Informations lorsque les
données
n'ont pas été collectées
auprès de la personne
concernée
1.
Lorsque les données n'ont pas été collectées
auprès de la personne concernée, les Etats membres
prévoient que le responsable du traitement ou son représentant
doit, dès l'enregistrement des données ou, si une communication
de données à un tiers est envisagée, au plus tard lors de
la première communication de données, fournir à la
personne concernée au moins les informations
énumérées ci-dessous, sauf si la personne en est
déjà informée :
a) l'identité du responsable du traitement et, le cas
échéant, de son représentant ;
b) les finalités du traitement ;
c) toute information supplémentaire telle que :
-- les catégories de données concernées,
-- les destinataires ou les catégories de destinataires des
données,
-- l'existence d'un droit d'accès aux données la concernant
et de rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières
dans lesquelles les données sont collectées, ces informations
supplémentaires sont nécessaires pour assurer à
l'égard de la personne concernée un traitement loyal des
données.
2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement
à finalité statistique ou de recherche historique ou
scientifique, l'information de la personne concernée se
révèle impossible ou implique des efforts disproportionnés
ou si la législation prévoit expressément l'enregistrement
ou la communication des données. Dans ces cas, les Etats membres
prévoient des garanties appropriées.
Section V
Droit d'accès de la personne
concernée aux données
Article 12
Droit d'accès
Les
Etats membres garantissent à toute personne concernée le droit
d'obtenir du responsable du traitement :
a) sans contrainte, à des intervalles raisonnables et sans
délais ou frais excessifs :
-- la confirmation que des données la concernant sont ou ne sont
pas traitées, ainsi que des informations portant au moins sur les
finalités du traitement, les catégories de données sur
lesquelles il porte et les destinataires ou les catégories de
destinataires auxquels les données sont communiquées,
-- la communication, sous une forme intelligible, des données
faisant l'objet des traitements, ainsi que de toute information disponible sur
l'origine des données,
-- la connaissance de la logique qui sous-tend tout traitement
automatisé des données la concernant, au moins dans le cas des
décisions automatisées visées à l'article 15
paragraphe 1 ;
b) selon le cas, la rectification, l'effacement ou le verrouillage des
données dont le traitement n'est pas conforme à la
présente directive, notamment en raison du caractère incomplet ou
inexact des données ;
c) la notification aux tiers auxquels les données ont
été communiquées de toute rectification, tout effacement
ou tout verrouillage effectué conformément au point b), si cela
ne s'avère pas impossible ou ne suppose pas un effort
disproportionné.
Section VI
Exceptions et limitations
Article 13
Exceptions et limitations
1. Les
Etats membres peuvent prendre des mesures législatives visant à
limiter la portée des obligations et des droits prévus à
l'article 6 paragraphe 1, à l'article 10, à l'article 11
paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue
une mesure nécessaire pour sauvegarder :
a) la sûreté de l'Etat ;
b) la défense ;
c) la sécurité publique ;
d) la prévention, la recherche, la détection et la poursuite
d'infractions pénales ou de manquements à la déontologie
dans le cas des professions réglementées ;
e) un intérêt économique ou financier important d'un
Etat membre ou de l'Union européenne, y compris dans les domaines
monétaire, budgétaire et fiscal ;
f) une mission de contrôle, d'inspection ou de réglementation
relevant, même à titre occasionnel, de l'exercice de
l'autorité publique, dans les cas visés aux points c), d) et
e) ;
g) la protection de la personne concernée ou des droits et
libertés d'autrui.
2. Sous réserve de garanties légales appropriées, excluant
notamment que les données puissent être utilisées aux fins
de mesures ou de décisions se rapportant à des personnes
précises, les Etats membres peuvent, dans le cas où il n'existe
manifestement aucun risque d'atteinte à la vie privée de la
personne concernée, limiter par une mesure législative les droits
prévus à l'article 12 lorsque les données sont
traitées exclusivement aux fins de la recherche scientifique ou sont
stockées sous la forme de données à caractère
personnel pendant une durée n'excédant pas celle
nécessaire à la seule finalité d'établissement de
statistiques.
Section VII
Droit d'opposition de la personne
concernée
Article 14
Droit d'opposition de la personne concernée
Les
Etats membres reconnaissent à la personne concernée le
droit :
a) au moins dans les cas visés à l'article 7 points e) et
f), de s'opposer à tout moment, pour des raisons
prépondérantes et légitimes tenant à sa situation
particulière, à ce que des données la concernant fassent
l'objet d'un traitement, sauf en cas de disposition contraire du droit
national. En cas d'opposition justifiée, le traitement mis en oeuvre par
le responsable du traitement ne peut plus porter sur ces données ;
b) de s'opposer, sur demande et gratuitement, au traitement des
données à caractère personnel la concernant
envisagé par le responsable du traitement à des fins de
prospection
ou
d'être informée avant que des données à
caractère personnel ne soient pour la première fois
communiquées à des tiers ou utilisées pour le compte de
tiers à des fins de prospection et de se voir expressément offrir
le droit de s'opposer, gratuitement, à ladite communication ou
utilisation.
Les Etats membres prennent les mesures nécessaires pour garantir que les
personnes concernées ont connaissance de l'existence du droit
visé au point b) premier alinéa.
Article 15
Décisions individuelles
automatisées
1. Les
Etats membres reconnaissent à toute personne le droit de ne pas
être soumise à une décision produisant des effets
juridiques à son égard ou l'affectant de manière
significative, prise sur le seul fondement d'un traitement automatisé de
données destiné à évaluer certains aspects de sa
personnalité, tels que son rendement professionnel, son crédit,
sa fiabilité, son comportement, etc.
2. Les Etats membres prévoient, sous réserve des autres
dispositions de la présente directive, qu'une personne peut être
soumise à une décision telle que celle visée au paragraphe
1 si une telle décision :
a) est prise dans le cadre de la conclusion ou de l'exécution d'un
contrat, à condition que la demande de conclusion ou d'exécution
du contrat, introduite par la personne concernée, ait été
satisfaite ou que des mesures appropriées, telles que la
possibilité de faire valoir son point de vue, garantissent la sauvegarde
de son intérêt légitime
ou
b) est autorisée par une loi qui précise les mesures
garantissant la sauvegarde de l'intérêt légitime de la
personne concernée.
Section VIII
Confidentialité et
sécurité des traitements
Article 16
Confidentialité des traitements
Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.
Article 17
Sécurité des
traitements
1. Les
Etats membres prévoient que le responsable du traitement doit mettre en
oeuvre les mesures techniques et d'organisation appropriées pour
protéger les données à caractère personnel contre
la destruction accidentelle ou illicite, la perte accidentelle,
l'altération, la diffusion ou l'accès non autorisés,
notamment lorsque le traitement comporte des transmissions de données
dans un réseau, ainsi que contre toute autre forme de traitement
illicite.
Ces mesures doivent assurer, compte tenu de l'état de l'art et des
coûts liés à leur mise en oeuvre, un niveau de
sécurité approprié au regard des risques
présentés par le traitement et de la nature des données
à protéger.
2. Les Etats membres prévoient que le responsable du traitement, lorsque
le traitement est effectué pour son compte, doit choisir un
sous-traitant qui apporte des garanties suffisantes au regard des mesures de
sécurité technique et d'organisation relatives aux traitements
à effectuer et qu'il doit veiller au respect de ces mesures.
3. La réalisation de traitements en sous-traitance doit être
régie par un contrat ou un acte juridique qui lie le sous-traitant au
responsable du traitement et qui prévoit notamment que :
-- le sous-traitant n'agit que sur la seule instruction du responsable du
traitement,
-- les obligations visées au paragraphe 1, telles que
définies par la législation de l'Etat membre dans lequel le
sous-traitant est établi, incombent également à celui-ci.
4. Aux fins de la conservation des preuves, les éléments du
contrat ou de l'acte juridique relatifs à la protection des
données et les exigences portant sur les mesures visées au
paragraphe 1 sont consignés par écrit ou sous une autre forme
équivalente.
Section IX
Notification
Article 18
Obligation de notification à l'autorité
de contrôle
1. Les
Etats membres prévoient que le responsable du traitement, ou le cas
échéant son représentant, doit adresser une notification
à l'autorité de contrôle visée à l'article 28
préalablement à la mise en oeuvre d'un traitement
entièrement ou partiellement automatisé ou d'un ensemble de tels
traitements ayant une même finalité ou des finalités
liées.
2. Les Etats membres ne peuvent prévoir de simplification de la
notification ou de dérogation à cette obligation que dans les cas
et aux conditions suivants :
-- lorsque, pour les catégories de traitement qui, compte tenu des
données à traiter, ne sont pas susceptibles de porter atteinte
aux droits et libertés des personnes concernées, ils
précisent les finalités des traitements, les données ou
catégories de données traitées, la ou les
catégories de personnes concernées, les destinataires ou
catégories de destinataires auxquels les données sont
communiquées et la durée de conservation des données
et/ou
-- lorsque le responsable du traitement désigne,
conformément au droit national auquel il est soumis, un
détaché à la protection des données à
caractère personnel chargé notamment :
-- d'assurer, d'une manière indépendante, l'application
interne des dispositions nationales prises en application de la présente
directive,
-- de tenir un registre des traitements effectués par le
responsable du traitement, contenant les informations visées à
l'article 21 paragraphe 2,
et garantissant de la sorte que les traitements ne sont pas susceptibles de
porter atteinte aux droits et libertés des personnes concernées.
3. Les Etats membres peuvent prévoir que le paragraphe 1 ne s'applique
pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu
de dispositions législatives ou réglementaires, est
destiné à l'information du public et est ouvert à la
consultation du public ou de toute personne justifiant d'un
intérêt légitime.
4. Les Etats membres peuvent prévoir une dérogation à
l'obligation de notification ou une simplification de la notification pour les
traitements visés à l'article 8 paragraphe 2 point d).
5. Les Etats membres peuvent prévoir que les traitements non
automatisés de données à caractère personnel, ou
certains d'entre eux, font l'objet d'une notification, éventuellement
simplifiée.
Article 19
Contenu de la notification
1. Les
Etats membres précisent les informations qui doivent figurer dans la
notification. Elles comprennent au minimum :
a) le nom et l'adresse du responsable du traitement et, le cas
échéant, de son représentant ;
b) la ou les finalités du traitement ;
c) une description de la ou des catégories de personnes
concernées et des données ou des catégories de
données s'y rapportant ;
d) les destinataires ou les catégories de destinataires auxquels
les données sont susceptibles d'être communiquées ;
e) les transferts de données envisagés à destination
de pays tiers ;
f) une description générale permettant d'apprécier de
façon préliminaire le caractère approprié des
mesures prises pour assurer la sécurité du traitement en
application de l'article 17.
2. Les Etats membres précisent les modalités de notification
à l'autorité de contrôle des changements affectant les
informations visées au paragraphe 1.
Article 20
Contrôles
préalables
1. Les
Etats membres précisent les traitements susceptibles de présenter
des risques particuliers au regard des droits et libertés des personnes
concernées et veillent à ce que ces traitements soient
examinés avant leur mise en oeuvre.
2. De tels examens préalables sont effectués par
l'autorité de contrôle après réception de la
notification du responsable du traitement ou par le détaché
à la protection des données, qui, en cas de doute, doit consulter
l'autorité de contrôle.
3. Les Etats membres peuvent aussi procéder à un tel examen dans
le cadre de l'élaboration soit d'une mesure du Parlement national, soit
d'une mesure fondée sur une telle mesure législative, qui
définisse la nature du traitement et fixe des garanties
appropriées.
Article 21
Publicité des traitements
1. Les
Etats membres prennent des mesures pour assurer la publicité des
traitements.
2. Les Etats membres prévoient que l'autorité de contrôle
tient un registre des traitements notifiés en vertu de l'article 18.
Le registre contient au minimum les informations énumérées
à l'article 19 paragraphe 1 points a) à e).
Le registre peut être consulté par toute personne.
3. En ce qui concerne les traitements non soumis à notification, les
Etats membres prévoient que le responsable du traitement ou une autre
instance qu'ils désignent communique sous une forme appropriée
à toute personne qui en fait la demande au moins les informations
visées à l'article 19 paragraphe 1 points a) à e).
Les Etats membres peuvent prévoir que la présente disposition ne
s'applique pas aux traitements ayant pour seul objet la tenue d'un registre
qui, en vertu de dispositions législatives ou réglementaires, est
destiné à l'information du public et est ouvert à la
consultation du public ou de toute personne justifiant d'un
intérêt légitime.
(iii) Chapitre III
RECOURS JURIDICTIONNELS, RESPONSABILITÉ ET
SANCTIONS
Article 22
Recours
Sans préjudice du recours administratif qui peut être organisé, notamment devant l'autorité de contrôle visée à l'article 28, antérieurement à la saisine de l'autorité judiciaire, les Etats membres prévoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.
Article 23
Responsabilité
1. Les
Etats membres prévoient que toute personne ayant subi un dommage du fait
d'un traitement illicite ou de toute action incompatible avec les dispositions
nationales prises en application de la présente directive a le droit
d'obtenir du responsable du traitement réparation du préjudice
subi.
2. Le responsable du traitement peut être exonéré
partiellement ou totalement de cette responsabilité s'il prouve que le
fait qui a provoqué le dommage ne lui est pas imputable.
Article 24
Sanctions
Les Etats membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive.
(iv) Chapitre IV
TRANSFERT DE DONNÉES À CARACTÈRE
PERSONNEL VERS DES PAYS TIERS
Article 25
Principes
1. Les
Etats membres prévoient que le transfert vers un pays tiers de
données à caractère personnel faisant l'objet d'un
traitement, ou destinées à faire l'objet d'un traitement
après leur transfert, ne peut avoir lieu que si, sous réserve du
respect des dispositions nationales prises en application des autres
dispositions de la présente directive, le pays tiers en question assure
un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un
pays tiers s'apprécie au regard de toutes les circonstances relatives
à un transfert ou à une catégorie de transferts de
données ; en particulier, sont prises en considération la
nature des données, la finalité et la durée du ou des
traitements envisagés, les pays d'origine et de destination finale, les
règles de droit, générales ou sectorielles, en vigueur
dans le pays tiers en cause, ainsi que les règles professionnelles et
les mesures de sécurité qui y sont respectées.
3. Les Etats membres et la Commission s'informent mutuellement des cas dans
lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection
adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la
procédure prévue à l'article 31 paragraphe 2, qu'un pays
tiers n'assure pas un niveau de protection adéquat au sens du paragraphe
2 du présent article, les Etats membres prennent les mesures
nécessaires en vue d'empêcher tout transfert de même nature
vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de
remédier à la situation résultant de la constatation faite
en application du paragraphe 4.
6. La Commission peut constater, conformément à la
procédure prévue à l'article 31 paragraphe 2, qu'un pays
tiers assure un niveau de protection adéquat au sens du paragraphe 2 du
présent article, en raison de sa législation interne ou de ses
engagements internationaux, souscrits notamment à l'issue des
négociations visées au paragraphe 5, en vue de la protection de
la vie privée et des libertés et droits fondamentaux des
personnes.
Les Etats membres prennent les mesures nécessaires pour se conformer
à la décision de la Commission.
Article 26
Dérogations
1. Par
dérogation à l'article 25 et sous réserve de dispositions
contraires de leur droit national régissant des cas particuliers, les
Etats membres prévoient qu'un transfert de données à
caractère personnel vers un pays tiers n'assurant pas un niveau de
protection adéquat au sens de l'article 25 paragraphe 2 peut être
effectué, à condition que :
a) la personne concernée ait indubitablement donné son
consentement au transfert envisagé
ou
b) le transfert soit nécessaire à l'exécution d'un
contrat entre la personne concernée et le responsable du traitement ou
à l'exécution de mesures précontractuelles prises à
la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à
l'exécution d'un contrat conclu ou à conclure, dans
l'intérêt de la personne concernée, entre le responsable du
traitement et un tiers
ou
d) le transfert soit nécessaire ou rendu juridiquement obligatoire
pour la sauvegarde d'un intérêt public important, ou pour la
constatation, l'exercice ou la défense d'un droit en justice
ou
e) le transfert soit nécessaire à la sauvegarde de
l'intérêt vital de la personne concernée
ou
f) le transfert intervienne au départ d'un registre public qui, en
vertu de dispositions législatives ou réglementaires, est
destiné à l'information du public et est ouvert à la
consultation du public ou de toute personne justifiant d'un
intérêt légitime, dans la mesure où les conditions
légales pour la consultation sont remplies dans le cas particulier.
2. Sans préjudice du paragraphe 1, un Etat membre peut autoriser un
transfert, ou un ensemble de transferts, de données à
caractère personnel vers un pays tiers n'assurant pas un niveau de
protection adéquat au sens de l'article 25 paragraphe 2, lorsque le
responsable du traitement offre des garanties suffisantes au regard de la
protection de la vie privée et des libertés et droits
fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des
droits correspondants ; ces garanties peuvent notamment résulter de
clauses contractuelles appropriées.
3. L'Etat membre informe la Commission et les autres Etats membres des
autorisations qu'il accorde en application du paragraphe 2.
En cas d'opposition exprimée par un autre Etat membre ou par la
Commission et dûment justifiée au regard de la protection de la
vie privée et des libertés et droits fondamentaux des personnes,
la Commission arrête les mesures appropriées, conformément
à la procédure prévue à l'article 31 paragraphe 2.
Les Etats membres prennent les mesures nécessaires pour se conformer
à la décision de la Commission.
4. Lorsque la Commission décide, conformément à la
procédure prévue à l'article 31 paragraphe 2, que
certaines clauses contractuelles types présentent les garanties
suffisantes visées au paragraphe 2, les Etats membres prennent les
mesures nécessaires pour se conformer à la décision de la
Commission.
(v) Chapitre V
CODES DE
CONDUITE
Article 27
1. Les
Etats membres et la Commission encouragent l'élaboration de codes de
conduite destinés à contribuer, en fonction de la
spécificité des secteurs, à la bonne application des
dispositions nationales prises par les Etats membres en application de la
présente directive.
2. Les Etats membres prévoient que les associations professionnelles et
les autres organisations représentant d'autres catégories de
responsables du traitement qui ont élaboré des projets de codes
nationaux ou qui ont l'intention de modifier ou de proroger des codes nationaux
existants peuvent les soumettre à l'examen de l'autorité
nationale.
Les Etats membres prévoient que cette autorité s'assure, entre
autres, de la conformité des projets qui lui sont soumis avec les
dispositions nationales prises en application de la présente directive.
Si elle l'estime opportun, l'autorité recueille les observations des
personnes concernées ou de leurs représentants.
3. Les projets de codes communautaires, ainsi que les modifications ou
prorogations de codes communautaires existants, peuvent être soumis au
groupe visé à l'article 29. Celui-ci se prononce, entre autres,
sur la conformité des projets qui lui sont soumis avec les dispositions
nationales prises en application de la présente directive. S'il l'estime
opportun, il recueille les observations des personnes concernées ou de
leurs représentants. La Commission peut assurer une publicité
appropriée aux codes qui ont été approuvés par le
groupe.
(vi) Chapitre VI
AUTORITÉ DE CONTRÔLE ET GROUPE DE
PROTECTION DES PERSONNES
À L'ÉGARD DU TRAITEMENT DES
DONNÉES À CARACTÈRE
PERSONNEL
Article 28
Autorité de
contrôle
1.
Chaque Etat membre prévoit qu'une ou plusieurs autorités
publiques sont chargées de surveiller l'application, sur son territoire,
des dispositions adoptées par les Etats membres en application de la
présente directive.
Ces autorités exercent en toute indépendance les missions dont
elles sont investies.
2. Chaque Etat membre prévoit que les autorités de contrôle
sont consultées lors de l'élaboration des mesures
réglementaires ou administratives relatives à la protection des
droits et libertés des personnes à l'égard du traitement
de données à caractère personnel.
3. Chaque autorité de contrôle dispose notamment :
-- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux
données faisant l'objet d'un traitement et de recueillir toutes les
informations nécessaires à l'accomplissement de sa mission de
contrôle,
-- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de
rendre des avis préalablement à la mise en oeuvre des
traitements, conformément à l'article 20, et d'assurer une
publication appropriée de ces avis ou celui d'ordonner le verrouillage,
l'effacement ou la destruction de données, ou d'interdire temporairement
ou définitivement un traitement, ou celui d'adresser un avertissement ou
une admonestation au responsable du traitement ou celui de saisir les
parlements nationaux ou d'autres institutions politiques,
-- du pouvoir d'ester en justice en cas de violation des dispositions
nationales prises en application de la présente directive ou du pouvoir
de porter ces violations à la connaissance de l'autorité
judiciaire.
Les décisions de l'autorité de contrôle faisant grief
peuvent faire l'objet d'un recours juridictionnel.
4. Chaque autorité de contrôle peut être saisie par toute
personne, ou par une association la représentant, d'une demande relative
à la protection de ses droits et libertés à l'égard
du traitement de données à caractère personnel. La
personne concernée est informée des suites données
à sa demande.
Chaque autorité de contrôle peut, en particulier, être
saisie par toute personne d'une demande de vérification de la
licéité d'un traitement lorsque les dispositions nationales
prises en vertu de l'article 13 de la présente directive sont
d'application. La personne est à tout le moins informée de ce
qu'une vérification a eu lieu.
5. Chaque autorité de contrôle établit à intervalles
réguliers un rapport sur son activité. Ce rapport est
publié.
6. Indépendamment du droit national applicable au traitement en cause,
chaque autorité de contrôle a compétence pour exercer, sur
le territoire de l'Etat membre dont elle relève, les pouvoirs dont elle
est investie conformément au paragraphe 3. Chaque autorité peut
être appelée à exercer ses pouvoirs sur demande d'une
autorité d'un autre Etat membre.
Les autorités de contrôle coopèrent entre elles dans la
mesure nécessaire à l'accomplissement de leurs missions,
notamment en échangeant toute information utile.
7. Les Etats membres prévoient que les membres et agents des
autorités de contrôle sont soumis, y compris après
cessation de leurs activités, à l'obligation du secret
professionnel à l'égard des informations confidentielles
auxquelles ils ont accès.
Article 29
Groupe de protection des personnes
à l'égard
du traitement des données à
caractère personnel
1. Il
est institué un groupe de protection des personnes à
l'égard du traitement des données à caractère
personnel, ci-après dénommé « groupe ».
Le groupe a un caractère consultatif et indépendant.
2. Le groupe se compose d'un représentant de l'autorité ou des
autorités de contrôle désignées par chaque Etat
membre, d'un représentant de l'autorité ou des autorités
créées pour les institutions et organismes communautaires et d'un
représentant de la Commission.
Chaque membre du groupe est désigné par l'institution,
l'autorité ou les autorités qu'il représente. Lorsqu'un
Etat membre a désigné plusieurs autorités de
contrôle, celles-ci procèdent à la nomination d'un
représentant commun. Il en va de même pour les autorités
créées pour les institutions et organismes communautaires.
3. Le groupe prend ses décisions à la majorité simple des
représentants des autorités de contrôle.
4. Le groupe élit son président. La durée du mandat du
président est de deux ans. Le mandat est renouvelable.
5. Le secrétariat du groupe est assuré par la Commission.
6. Le groupe établit son règlement intérieur.
7. Le groupe examine les questions mises à l'ordre du jour par son
président, soit à l'initiative de celui-ci, soit à la
demande d'un représentant des autorités de contrôle ou de
la Commission.
Article 30
1. Le
groupe a pour mission :
a) d'examiner toute question portant sur la mise en oeuvre des
dispositions nationales prises en application de la présente directive,
en vue de contribuer à leur mise en oeuvre homogène ;
b) de donner à la Commission un avis sur le niveau de protection
dans la Communauté et dans les pays tiers ;
c) de conseiller la Commission sur tout projet de modification de la
présente directive, sur tout projet de mesures additionnelles ou
spécifiques à prendre pour sauvegarder les droits et
libertés des personnes physiques à l'égard du traitement
des données à caractère personnel, ainsi que sur tout
autre projet de mesures communautaires ayant une incidence sur ces droits et
libertés ;
d) de donner un avis sur les codes de conduite élaborés au
niveau communautaire.
2. Si le groupe constate que des divergences, susceptibles de porter atteinte
à l'équivalence de la protection des personnes à
l'égard du traitement des données à caractère
personnel dans la Communauté, s'établissent entre les
législations et pratiques des Etats membres, il en informe la Commission.
3. Le groupe peut émettre de sa propre initiative des recommandations
sur toute question concernant la protection des personnes à
l'égard du traitement de données à caractère
personnel dans la Communauté.
4. Les avis et recommandations du groupe sont transmis à la Commission
et au comité visé à l'article 31.
5. La Commission informe le groupe des suites qu'elle a données à
ses avis et recommandations. Elle rédige à cet effet un rapport
qui est transmis également au Parlement européen et au Conseil.
Ce rapport est publié.
6. Le groupe établit un rapport annuel sur l'état de la
protection des personnes physiques à l'égard du traitement des
données à caractère personnel dans la Communauté et
dans les pays tiers, qu'il communique à la Commission, au Parlement
européen et au Conseil. Ce rapport est publié.
(vii) Chapitre VII
MESURES D'EXÉCUTION
COMMUNAUTAIRES
Article 31
Comité
1. La
Commission est assistée par un comité composé des
représentants des Etats membres et présidé par le
représentant de la Commission.
2. Le représentant de la Commission soumet au comité un projet
des mesures à prendre. Le comité émet son avis sur ce
projet, dans un délai que le président peut fixer en fonction de
l'urgence de la question en cause.
L'avis est émis à la majorité prévue à
l'article 148 paragraphe 2 du traité. Lors des votes au sein du
comité, les voix des représentants des Etats membres sont
affectées de la pondération définie à l'article
précité. Le président ne prend pas part au vote.
La Commission arrête des mesures qui sont immédiatement
applicables. Toutefois, si elles ne sont pas conformes à l'avis
émis par le comité, ces mesures sont aussitôt
communiquées par la Commission au Conseil. Dans ce cas :
-- la Commission diffère l'application des mesures
décidées par elle d'un délai de trois mois à
compter de la date de la communication,
-- le Conseil, statuant à la majorité qualifiée, peut
prendre une décision différente dans le délai prévu
au premier tiret.
(2) DISPOSITIONS FINALES
Article 32
1. Les
Etats membres mettent en vigueur les dispositions législatives,
réglementaires et administratives nécessaires pour se conformer
à la présente directive au plus tard à l'issue d'une
période de trois ans à compter de son adoption.
Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une
référence à la présente directive ou sont
accompagnées d'une telle référence lors de leur
publication officielle. Les modalités de cette référence
sont arrêtées par les Etats membres.
2. Les Etats membres veillent à ce que les traitements dont la mise en
oeuvre est antérieure à la date d'entrée en vigueur des
dispositions nationales prises en application de la présente directive
soient rendus conformes à ces dispositions au plus tard trois ans
après cette date.
Par dérogation à l'alinéa précédent, les
Etats membres peuvent prévoir que les traitements de données
déjà contenues dans des fichiers manuels à la date
d'entrée en vigueur des dispositions nationales prises en application de
la présente directive seront rendus conformes aux articles 6, 7 et 8 de
la présente directive dans un délai de douze ans à compter
de la date d'adoption de celle-ci. Les Etats membres permettent toutefois
à la personne concernée d'obtenir, à sa demande et
notamment lors de l'exercice du droit d'accès, la rectification,
l'effacement ou le verrouillage des données incomplètes,
inexactes ou conservées d'une manière qui est incompatible avec
les fins légitimes poursuivies par le responsable du traitement.
3. Par dérogation au paragraphe 2, les Etats membres peuvent
prévoir, sous réserve des garanties appropriées, que les
données conservées dans le seul but de la recherche historique ne
soient pas rendues conformes aux articles 6, 7 et 8 de la présente
directive.
4. Les Etats membres communiquent à la Commission le texte des
dispositions de droit interne qu'ils adoptent dans le domaine régi par
la présente directive.
Article 33
Périodiquement, et pour la première fois au plus
tard
trois ans après la date prévue à l'article 32 paragraphe
1, la Commission fait un rapport au Parlement européen et au Conseil sur
l'application de la présente directive et l'assortit, le cas
échéant, des propositions de modification appropriées. Ce
rapport est publié.
La Commission examine, en particulier, l'application de la présente
directive aux traitements de données constituées par des sons et
des images, relatives aux personnes physiques, et elle présente les
propositions appropriées qui pourraient s'avérer
nécessaires en tenant compte des développements de la technologie
de l'information et à la lumière de l'état des travaux sur
la société de l'information.
Article 34
Les Etats membres sont destinataires de la présente directive.