Texte du RGPD (Règlement général sur la protection des données)

Article 32. Sécurité du traitement

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.

Article 33. Notification à l’autorité de contrôle d’une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

2.Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.

Article 34. Communication à la personne concernée d’une violation de données à caractère personnel

1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Article 35.  Analyse d’impact relative à la protection des données

1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectué, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3. L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; 

ou

c) la surveillance systématique à grande échelle d’une zone accessible au public.

4. L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68.

5. L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise. L’autorité de contrôle communique cette liste au comité.

6. Avant d’adopter les listes visées aux paragraphes 4 et 5, l’autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l’article 63, lorsque ces listes comprennent des activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union.

7. L’analyse contient au moins :

a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

8. Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l’article 40 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Article 36. Consultation préalable (§2)

2. Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. 

Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:

a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises;

b) les finalités et les moyens du traitement envisagé;

c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d) le cas échéant, les coordonnées du délégué à la protection des données;

e) l’analyse d’impact relative à la protection des données prévue à l’article 35; et;

f) toute autre information que l’autorité de contrôle demande.

4. Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

 

Délégué à la protection des données (RGPD)

Article 37. Désignation du délégué à la protection des données

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque: a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; 

ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Article 38. Fonction du délégué à la protection des données

1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.

3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.

5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.

6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêt.

 Article 39 – Missions du délégué à la protection des données

1. Les missions du délégué à la protection des données sont au moins les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

d) coopérer avec l’autorité de contrôle;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2.Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Article 42. Certification

(du règlement général sur la protection des données -RGPD – Section 5 – Codes de conduite et certification)

Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. 

Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

Article 47. Règles d’entreprise contraignantes

1. L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l’article 63, à condition que:

a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés;

b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et

c) elles répondent aux exigences prévues au paragraphe 2.

2. Les règles d’entreprise contraignantes visées au paragraphe 1 précisent au moins:

a) la structure et les coordonnées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;

b) les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu’externe;

d) l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes;

e) les droits des personnes concernées à l’égard du traitement et les moyens d’exercer ces droits y compris le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l’article 22, le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 79 et d’obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d’entreprise contraignantes;

f) l’acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s’il prouve que le fait générateur du dommage n’est pas imputable à l’entité en cause;

g) la manière dont les informations sur les règles d’entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;

h) les missions de tout délégué à la protection des données, désigné conformément à l’article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;

i) les procédures de réclamation;

j)  les mécanismes mis en place au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir le contrôle du respect des règles d’entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l’entité visée au point h) et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l’autorité de contrôle compétente sur demande;

k) les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle;

l) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l’autorité de contrôle les résultats des contrôles des mesures visés au point j);

m) les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes; et

n) la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

3. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, préciser la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Article 40-9 (abrogé) du RGPD

“Les infractions aux dispositions de la présente loi sont prévues par la section 5 du chapitre VI du titre II du livre II du code pénal.”

Section 5. du chapitre VI du titre II du livre II du code pénal 

Article 226-16 

Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13

“Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures prévues au 3° du III de l’article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.”

Article 226-16-1 

Création Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004

Le fait, hors les cas où le traitement a été autorisé dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, de procéder ou faire procéder à un traitement de données à caractère personnel incluant parmi les données sur lesquelles il porte le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Article 226-16-2

Création LOI n°2021-646 du 25 mai 2021 – art. 52 (V)

“Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel relatives à des fonctionnaires ou à des personnes chargées d’une mission de service public en raison de leur qualité hors des finalités prévues par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données) et par la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.”

Article 226-17

Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13

Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites aux articles 24, 25, 30 et 32 du règlement (UE) 2016/679 du 27 avril 2016 précité ou au 6° de l’article 4 et aux articles 99 à 101 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Conformément à l’article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au 1er juin 2019.

Article 226-17-1

Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13

Le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 précité ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Est puni des mêmes peines le fait pour un sous-traitant de ne pas notifier cette violation au responsable de traitement en méconnaissance de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 précité ou de l’article 102 de la loi n° 78-17 du 6 janvier 1978 précitée.

Article 226-18

Modifié par Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Article 226-18-1

Création Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004

Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Article 226-19

(Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13)

“Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.

Les dispositions du présent article sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles.”

Conformément à l’article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au 1er juin 2019.

Article 226-19-1

Création Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004

En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de procéder à un traitement :

1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d’accès, de rectification et d’opposition, de la nature des données transmises et des destinataires de celles-ci ;

2° Malgré l’opposition de la personne concernée ou, lorsqu’il est prévu par la loi, en l’absence du consentement éclairé et exprès de la personne, ou s’il s’agit d’une personne décédée, malgré le refus exprimé par celle-ci de son vivant.

Article 226-20

Modifié par Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004

Modifié par Loi n°2000-321 du 12 avril 2000 – art. 6

“Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.

Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.”

Article 226-21

(Modifié par Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004)

Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Article 226-22

(Modifié par Loi n°2004-801 du 6 août 2004 – art. 14 () JORF 7 août 2004)

Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

La divulgation prévue à l’alinéa précédent est punie de trois ans d’emprisonnement et de 100 000 euros d’amende lorsqu’elle a été commise par imprudence ou négligence.

Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.

Article 226-22-1

(Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13)

Le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE, ou des articles 112 à 114 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Conformément à l’article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au 1er juin 2019.

Article 226-22-2

(Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13)

Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés :

1° Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 10 de la loi n° 78-17 du 6 janvier 1978 précitée lorsque la visite a été autorisée par le juge ;

2° Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 10 de la même loi, ou aux agents d’une autorité de contrôle d’un Etat membre de l’Union européenne en application de l’article 62 du règlement (UE) 2016/679 du 27 avril 2016 précité, les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

3° Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.

Conformément à l’article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au 1er juin 2019.

Article 226-23

Modifié par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 13

Dans les cas prévus aux articles 226-16 à 226-22-2, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission nationale de l’informatique et des libertés sont habilités à constater l’effacement de ces données.

Conformément à l’article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au 1er juin 2019.

Article 226-24

Modifié par LOI n°2009-526 du 12 mai 2009 – art. 124

Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l’article 121-2, des infractions définies à la présente section encourent, outre l’amende suivant les modalités prévues par l’article 131-38, les peines prévues par les 2° à 5° et 7° à 9° de l’article 131-39.

L’interdiction mentionnée au 2° de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise.

Article 44 (abrogé)

Abrogé par Loi n°92-1336 du 16 décembre 1992 – art. 261 (V) JORF 23 décembre 1992 en vigueur le 1er mars 1994.

“ Sera puni d’un emprisonnement d’un an à cinq ans et d’une amende de 20.000 à 2.000.000 de francs quiconque, étant détenteur d’informations nominatives à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, les aura détournées de leur finalité telle qu’elle est définie dans l’acte réglementaire prévu à l’article 15 ci-dessus, ou dans les déclarations faites en application des articles 16 et 17 ou par une disposition législative.”

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Article 12. Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.
2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.
3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b) refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.
7. Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.

Article 13. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;

c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

Article 14. Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée

1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b) le cas échéant, les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) les catégories de données à caractère personnel concernées;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;

g) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2 :

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 15. Droit d’accès de la personne concernée

1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;

f) le droit d’introduire une réclamation auprès d’une autorité de contrôle;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.
3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.
4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

Article 16. Droit de rectification

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Article 17. Droit à l’effacement («droit à l’oubli»)

1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

a) à l’exercice du droit à la liberté d’expression et d’information;

b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;

d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e) à la constatation, à l’exercice ou à la défense de droits en justice.

Article 18. Droit à la limitation du traitement

1. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique:

a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel;

b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;

c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice;

d) la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

2. Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.
3. Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

Article 19. Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Article 20. Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et

b) le traitement est effectué à l’aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.
3. L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

 

---

Section 4. Droit d’opposition et prise de décision individuelle automatisée

 

---

 

Article 21. Droit d’opposition

1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.
2. Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.
3. Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.
4. Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.
5. Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.
6. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

 

---

 

Article 22. Décision individuelle automatisée, y compris le profilage

1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
2. Le paragraphe 1 ne s’applique pas lorsque la décision:

a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

b) est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.
4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

 

---

Section 5. Limitations

 

---

 

Article 23. Limitations

1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale;

b) la défense nationale;

c) la sécurité publique;

d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f) la protection de l’indépendance de la justice et des procédures judiciaires;

g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);

i) la protection de la personne concernée ou des droits et libertés d’autrui;

j) l’exécution des demandes de droit civil.

2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a) aux finalités du traitement ou des catégories de traitement;

b) aux catégories de données à caractère personnel;

c) à l’étendue des limitations introduites;

d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g) aux risques pour les droits et libertés des personnes concernées; et

h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Article 8 – Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information

1. Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2. Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.