arrow_back Retour à tous les articles

Article 17
Droit à l'effacement ("droit à l'oubli")

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 17 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 17 keyboard_arrow_up

(65) Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d'un "droit à l'oubli" lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l'Union ou du droit d'un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu'elle n'est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu'elle est nécessaire à l'exercice du droit à la liberté d'expression et d'information, au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou à la défense de droits en justice.

(66) Afin de renforcer le 'droit à l'oubli' numérique, le droit à l'effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d'informer les responsables du traitement qui traitent ces données à caractère personnel qu'il convient d'effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d'informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

(156) Le traitement des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s'il est possible d'atteindre ces finalités grâce à un traitement de données à caractère personnel qui ne permettent pas ou plus d'identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données). Les États membres devraient prévoir des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les États membres devraient être autorisés à prévoir, dans des conditions spécifiques et moyennant des garanties appropriées pour les personnes concernées, des dispositions particulières et des dérogations concernant les exigences en matière d'information et les droits à la rectification, à l'effacement, à l'oubli, à la limitation du traitement, à la portabilité des données et le droit d'opposition lorsque les données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques. Les conditions et garanties en question peuvent comporter des procédures spécifiques permettant aux personnes concernées d'exercer ces droits si cela est approprié eu égard aux finalités du traitement spécifique concerné, ainsi que des mesures techniques et organisationnelles visant à réduire à un minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité. Le traitement de données à caractère personnel à des fins scientifiques devrait également respecter d'autres dispositions législatives pertinentes, telles que celles relatives aux essais cliniques.

Afficher les considérants de la Directive 95/46 liés à l'article 17 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 17 keyboard_arrow_up

(25) considérant que les principes de la protection doivent trouver leur expression, d'une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d'autre part, dans les droits donnés aux personnes dont les données font l'objet d'un traitement d'être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Présenté en grandes pompes comme l’innovation majeure du Règlement, le droit à l’effacement était toutefois déjà contenu, à tout le moins, en germe dans la Directive, en son article 12, point b).

On renvoie ici à l’arrêt important rendu par la grande chambre de la Cour de justice de l’Union européenne le 13 mai 2014 ((CJUE, Google Spain SL c. Costeja, 13 mai 2014, C-121/12). Après avoir considéré que Google est soumis aux dispositions de la Directive 95/46/CE (ou de la loi de transposition) et qu’il est considéré comme le responsable du traitement, la Cour a jugé que les droits de rectification et d’opposition consacrés par ces dispositions permettent à une personne de réclamer le déréférencement de liens litigieux.

Les demandes au titre des articles 12, sous b) (correction), et 14, premier alinéa, sous a) (opposition), de la Directive pouvaient donc être directement adressées par la personne concernée au responsable du traitement qui doit alors dûment examiner le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. Lorsque le responsable du traitement ne donnait pas suite à ces demandes, la personne concernée pouvait saisir l’autorité de contrôle ou l’autorité judiciaire pour que celles-ci effectuent les vérifications nécessaires et ordonnent à ce responsable des mesures précises en conséquence.

Belgique

L’article 12, § 1er, 2ème alinéa de la loi du 8 décembre 1992 reconnaît à toute personne le droit de s'opposer, pour des raisons sérieuses et légitimes tenant à une situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf lorsque le traitement est nécessaire, soit  à l’exécution d’un contrat au sens de l’article 5, b) de la loi, soit à la sauvegarde de l’intérêt vital de la personne concernée au sens de l’article 5, c) de la loi. Lorsqu’il est fondé, le droit d’opposition oblige le responsable à cesser tout traitement relatif auxdites données. En outre, chacun dispose du droit « absolu » de s’opposer, sans justification et gratuitement, au traitement de ses données à des fins de marketing direct.

Le droit d’opposition est complété par le droit d’obtenir sans frais la suppression ou l'interdiction d'utilisation de toute donnée à caractère personnel qui serait incomplète ou non pertinente ou dont l'enregistrement, la communication ou la conservation seraient interdits ou encore qui a été conservée au-delà de la période autorisée.

Les modalités d’exercice de ces droits sont définies aux articles 32 à 35 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Concrètement, si le responsable refuse ou ne répond pas à une demande d’opposition ou de suppression dans un délai d’un mois, la personne concernée peut soit  saisir la Commission de la protection de la vie privée qui procédera alors aux vérifications nécessaires (art. 13 de la loi) ; soit saisir directement le président du tribunal de première instance de son domicile ou à défaut celui du domicile du responsable de traitement (art. 14 de la loi).

France

En vertu de l’article 40 de la loi Informatique et Libertés, toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Il appartient au responsable de démontrer qu’il a accompli les opérations nécessaires pour donner suite à la demande de la personne concernée, à moins qu’il ne démontre que les données contestées ont été communiquées par l'intéressé ou avec son accord. Si les données ont été communiquées à un tiers, le responsable doit notifier auxdits tiers les opérations accomplies.

 

Où va-t-on ?

L’article 17 du Règlement investit toute personne concernée par un traitement de données à caractère personnel d’un droit à l’oubli numérique et à l'effacement.

L’apport majeur de cette disposition est de fixer et les conditions d’exercice du droit à l’oubli numérique, notamment l’obligation qui est faite au responsable du traitement ayant rendu publiques des données à caractère personnel d’informer les tiers de la demande de la personne concernée d'effacer tout lien vers ces données ou les copies ou reproductions qui en ont été faites.

Ainsi, en vertu l’article 17 du Règlement, l’effacement doit être obtenu dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

-les données ne sont plus nécessaires au regard des finalités présidant le traitement ;

-lorsque la personne concernée a retiré le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;

-lorsque la personne concernée exerce son droit général d’opposition (art. 21), et qu’il n'existe pas de motif légitime impérieux pour le traitement ou lorsqu’elle exerce son droit spécifique d’opposition en matière de marketing direct (art. 21, § 2) ;

-lorsque les données ont fait l'objet d'un traitement illicite ;

-lorsque les données doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis.

- lorsque les données ont été collectées dans le cadre d’une offre de services de la société de l’information s’adressant aux enfants, au sens de l’article 8, paragraphe 1er.

Compte tenu des technologies disponibles et des coûts de mise en œuvre, le responsable du traitement qui a rendu publiques les données et serait tenu de les effacer suite à l’exercice du droit à l’oubli, doit prendre des mesures raisonnables, y compris d’ordre technique, afin d’informer les autres responsables qui traitent les données dont la personne concernée a demandé l’effacement, de procéder également audit effacement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.

Le droit à l’oubli numérique et à l’effacement ne pourra cependant pas être exercé lorsque le traitement des données est nécessaire:

-  pour l’exercice de la liberté d’expression et d’information ;

- pour respecter une obligation légale à laquelle est soumis le responsable et qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable ;

-pour des motifs d’intérêt public dans le domaine de la santé publique, conformément aux dispositions sur les données sensibles, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3.

-à des fins d’archivage dans l’intérêt général ou à des fins scientifiques, statistiques et historiques conformément à l’article 89 pour autant que l’exercice du droit à l’oubli rende vraisemblablement impossible ou porte sérieusement atteinte à la réalisation des objectifs des finalités d’archivage dans l’intérêt public ou des finalités scientifiques, de recherche historique ou encore statistique ;

-à la constatation, à l’exercice ou à la défense de droits en justice.

Difficultés probables

Tant sous l’empire de la Directive que sous l’égide du Règlement, ni le droit général d’opposition, ni le droit à l’oubli numérique ne sont absolus. 

Il est certain que les précisions apportées par la disposition sur les hypothèses dans lesquelles ce droit peut être exercé seront précieuses et permettront de rendre plus prévisibles les demandes légitimes d’effacement. Le problème viendra plutôt de la mise en œuvre des exceptions, imposant de difficiles pondérations d’intérêts, dont la responsabilité reposera d’abord sur le responsable du traitement.

Le caractère ubiquitaire d’internet et la possibilité de reproduction illimitée des informations sur la toile obligent en outre les personnes concernées à répéter inlassablement leur demande de déréférencement auprès des moteurs de recherche, dès l’apparition de nouveaux sites web hébergeant lesdites informations. Cette répétition chronophage et énergivore a parfois vite fait de décourager les personnes concernées. Cette situation n’est pas de nature à garantir au citoyen une maîtrise réelle de ses données à caractère personnel.

Le devoir à charge du responsable du traitement d’informer les autres responsables qui traitent les données faisant l’objet de la demande d’effacement permettra-t-il de simplifier la tâche des personnes concernées ? On verra en pratique et au regard des limites admises par le texte lui-même (à partir de quel moment, cela sortira-t-il du raisonnable ?).

Règlement
1e 2e

Art. 17

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;

c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;

d) les données à caractère personnel ont fait l'objet d'un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.

2. Lorsqu'il a rendu publiques les données à caractère personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en oeuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire:

a) à l'exercice du droit à la liberté d'expression et d'information;

b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;


d) à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e) à la constatation, à l'exercice ou à la défense de droits en justice.

Proposition 1 close

1. La personne concernée a le droit d'obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était enfant, ou pour l'un des motifs suivants:

 a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées

 b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19;

d) le traitement des données n'est pas conforme au présent règlement pour d'autres motifs.

2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication.

3. Le responsable du traitement procède à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire:

a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80;

b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81;

c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83;

d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d’intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi;

e) dans les cas mentionnés au paragraphe 4.

4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel:

a) pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données lorsque cette dernière est contestée par la personne concernée;

b) lorsqu’elles ne sont plus utiles au responsable du traitement pour qu’il s’acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires,

ou c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation; d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 18, paragraphe 2.

5. Les données à caractère personnel énumérées au paragraphe 4 ne peuvent être traitées, à l’exception de la conservation, qu’à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d’une autre personne physique ou morale ou pour un objectif d’intérêt général.

 6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

7. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l’effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.

8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel. 9. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser:

a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données;

b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2; c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4.

Proposition 2 close

1. Le (…) responsable du traitement est tenu d'effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d'enfant, et la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant, dans les meilleurs délais, pour l'un des motifs suivants:

a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), (…) et il n'existe pas d'autre motif légal au traitement des données;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19, paragraphe 2;

d) les données ont fait l'objet d'un traitement illicite;

e) les données doivent être effacées pour respecter une obligation légale à laquelle le responsable du traitement est soumis.

1bis. En outre, la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant, dans les meilleurs délais, si les données ont été collectées dans le cadre de l'offre de services de la société de l'information visés à l'article 8, paragraphe 1. (...).

2. (...).

2 bis. Lorsqu'il (...) a rendu publiques les données à caractère personnel et est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, en tenant compte des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, permettant d'informer les responsables qui traitent les données que la personne concernée (...) a demandé l'effacement par ces responsables de tout lien vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci.

3. Les paragraphes 1, 1 bis et 2 bis ne s'appliquent pas dans la mesure où (…) le traitement des données à caractère personnel est nécessaire:

a. à l'exercice du droit à la liberté d'expression et d'information ;

b. pour respecter une obligation légale qui requiert le traitement de données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ; c. pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et h ter), ainsi qu'à l'article 9, paragraphe 4 ;

d. à des fins d'archivage dans l'intérêt général ou à des fins scientifiques, statistiques et historiques (...), conformément à l'article 83 ;

e. (...)

f. (...)

g. à la constatation, à l'exercice ou à la défense de droits en justice .

4. (...)

5. (...)

Directive

Art. 12

Les États membres garantissent à toute personne concernée le droit d'obtenir du responsable du traitement:

a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

- la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

- la communication, sous une forme intelligible, des données faisant l'objet des traitements, ainsi que de toute information disponible sur l'origine des données,

- la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l'article 15 paragraphe 1;

b) selon le cas, la rectification, l'effacement ou le verrouillage des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;

c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

France

Art. 40

Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Lorsque l'intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

Lorsqu'il obtient une modification de l'enregistrement, l'intéressé est en droit d'obtenir le remboursement des frais correspondant au coût de la copie mentionnée au I de l'article 39.

Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa.

Les héritiers d'une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l'objet d'un traitement n'ont pas été actualisées, exiger du responsable de ce traitement qu'il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.

Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées en vertu de l'alinéa précédent.

 

 

Belgique

Art. 12

§ 1er. Toute personne a le droit d'obtenir sans frais la rectification de toute donnée à caractère personnel inexacte qui la concerne.

(Toute personne a en outre le droit de s'opposer, pour des raisons sérieuses et légitimes tenant à une situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf lorsque la licéité du traitement est basée sur les motifs visés à l'article 5, b) et c).

Lorsque les données à caractère personnel sont collectées à des fins de direct marketing, la personne concernée peut s'opposer, gratuitement et sans aucune justification, au traitement projeté de données à caractère personnel la concernant.

En cas d'opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut plus porter sur ces données.)

Toute personne a également le droit d'obtenir sans frais la suppression ou l'interdiction d'utilisation de toute donnée à caractère personnel la concernant qui, compte tenu du but du traitement, est incomplète ou non pertinente ou dont l'enregistrement, la communication ou la conservation sont interdits ou encore qui a été conservée au-delà de la période autorisée.

§ 2. Pour exercer (les droits visés au §1er), l'intéressé adresse une demande datée et signée au (responsable du traitement) ou à toute autre personne désignée par le Roi.

 

§ 3. (Dans le mois qui suit l'introduction de la requête conformément au paragraphe 2, le responsable du traitement communique les rectifications ou effacements des données, effectués sur base du § 1er, à la personne concernée elle-même ainsi qu'aux personnes à qui les données incorrectes, incomplètes et non pertinentes ont été communiquées, pour autant qu'il ait encore connaissance des destinataires de la communication et que la notification à ces destinataires ne paraisse pas impossible ou n'implique pas des efforts disproportionnés.

Lorsque la personne concernée s'oppose, en application du § 1er, alinéas 2 et 3, au traitement ou au traitement projeté de données à caractère personnel la concernant, le responsable du traitement communique dans le même délai à la personne concernée quelle suite il a donnée à la demande.) <L 1998-12-11/54, art. 16, 004; En vigueur : 01-09-2001>

§ 4. (abrogé) <L 1998-12-11/54, art. 16, 004; En vigueur : 01-09-2001>

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK