Article 23
Limitations
(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;
(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;
Règlement
Art. 23 1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l’essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir: a) la sécurité nationale; b) la défense nationale; c) la sécurité publique; d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale; f) la protection de l'indépendance de la justice et des procédures judiciaires; g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c), d), e) et g); i) la protection de la personne concernée ou des droits et libertés d'autrui; j) l'exécution des demandes de droit civil. 2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant: a) aux finalités du traitement ou des catégories de traitement; b) aux catégories de données à caractère personnel; c) à l'étendue des limitations introduites; d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites; e) à la détermination du responsable du traitement ou des catégories de responsables du traitement; f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement; g) aux risques pour les droits et libertés des personnes concernées; et h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. |
Directive
Art. 13 1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder: a) la sûreté de l'État; b) la défense; c) la sécurité publique; d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées; e) un intérêt économique ou financier important d'un État membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal; f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e); g) la protection de la personne concernée ou des droits et libertés d'autrui. 2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques. |
France
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Art. 48 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Le droit à l'information s'exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016. En particulier, lorsque les données à caractère personnel sont collectées auprès d'un mineur de moins de quinze ans, le responsable de traitement transmet au mineur les informations mentionnées à l'article 13 de ce règlement dans un langage clair et facilement accessible. La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est également informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant du droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort, dans les conditions prévues à l'article 85. En application de l'article 23 du même règlement, le droit à l'information ne s'applique pas aux données collectées dans les conditions prévues à l'article 14 de ce règlement et utilisées lors d'un traitement mis en œuvre pour le compte de l'Etat et intéressant la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par ce traitement et prévue par l'acte instaurant le traitement. Il est fait application des dispositions de l'alinéa précédent lorsque le traitement est mis en œuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, à des amendes administratives ou à des pénalités. Art. 52 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions, les droit d'accès, de rectification et d'effacement s'exercent dans les conditions prévues à l'article 118, si de telles restrictions ont été prévues par l'acte instaurant le traitement. Il est fait application des mêmes dispositions lorsque le traitement intéresse la sécurité publique, sous réserve de l'application des dispositions du titre III. Par dérogation aux articles 49 à 51, pour les traitements mis en œuvre par les juridictions financières, dans le cadre de leurs missions non juridictionnelles prévues par le code des juridictions financières, notamment lorsque de telles missions sont susceptibles de révéler des irrégularités appelant la mise en œuvre d'une procédure juridictionnelle, le droit d'accès peut être limité dans les conditions prévues aux e et h du 1 de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016. Art. 56 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Le droit d'opposition s'exerce dans les conditions prévues à l'article 21 du règlement (UE) 2016/679 du 27 avril 2016. Ce droit ne s'applique pas lorsque le traitement répond à une obligation légale ou, dans les conditions prévues à l'article 23 du même règlement, lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte instaurant le traitement. Art. 116 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable de traitement ou son représentant : 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu'elle tient des dispositions des articles 117 à 120 ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ; 8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée. Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°. II. -Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable de traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche. III. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement. Art. 117 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement. Art. 118 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 I. - Les demandes tendant à l'exercice du droit d'accès, de rectification et d'effacement sont adressées à la Commission nationale de l'informatique et des libertés qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. La commission informe la personne concernée qu'il a été procédé aux vérifications nécessaires et de son droit de former un recours juridictionnel. Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant. Art. 119 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 I. - Par dérogation à l'article 118, lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire autorisant le traitement peut prévoir que les droits d'accès, de rectification et d'effacement peuvent être exercés par la personne concernée auprès du responsable de traitement directement saisi dans les conditions prévues aux II à III du présent article. II. - La personne concernée justifiant de son identité a le droit d'obtenir : 1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ; 2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; 3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ; 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ; 5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Les demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique peuvent être rejetées. III. - La personne concernée justifiant de son identité peut également exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. Lorsque l'intéressé en fait la demande, le responsable de traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées. En cas de contestation, la charge de la preuve incombe au responsable de traitement auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord. Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa du III. Art. 120 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne. Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à prévoir ou évaluer certains aspects personnels relatifs à la personne concernée.
|
Belgique
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Art.11 § 1er. En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement, ne s’appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3, à l’égard: 1° des autorités et personnes visées aux articles 14, 16 et 19 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité auxquelles ces données ont été transmises directement ou indirectement par les autorités visées au titre 3; 2° des autorités et personnes visées à l’article 2, alinéa 1 er , 2°, de la loi du 10 juillet 2006 relative à l’analyse de la menace ainsi que celles mentionnées à l’article 44/11/3 ter §§ 2 et 3, et à l’article 44/11/3 quater de la loi du 5 août 1992 sur la fonction de police, et qui relèvent du champ d’application du titre 1 er , et auxquelles ces données ont été transmises. § 2. Le responsable du traitement visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que: 1° la loi l’y oblige dans le cadre d’une procédure contentieuse; ou que 2° l’autorité visée au titre 3 concernée l’y autorise. Le responsable du traitement ou l’autorité compétente ne fait aucune mention qu’il est en possession de données émanant des autorités visées au titre 3. § 3. Les limitations visées au paragraphe 1 er portent également sur la journalisation des traitements d’une autorité visée au titre 3 dans les banques de données des responsables du traitement visés par le présent titre auxquelles l’autorité a directement accès. § 4. Le responsable de traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes: 1° il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l’accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service; 2° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres du personnel du responsable de traitement qui traitent les données visées à l’alinéa 1 er sont en outre tenus au devoir de discrétion. § 5. Lorsque l’autorité de contrôle visée dans la loi du 3 décembre 2017 portant création de l’Autorité de protection des données est saisie d’une requête ou d’une plainte où le responsable du traitement fait état de l ’application du présent article, l ’autorité de contrôle s’adresse au Comité permanent R pour qu’il fasse les vérifications nécessaires auprès de l’autorité visée au titre 3. Après réception de la réponse du Comité permanent R, l’Autorité de protection des données n’informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n’émanant pas des autorités visées au titre 3 que l’autorité de contrôle est légalement tenue de communiquer. Si la requête ou la plainte ne porte que sur des don- nées à caractère personnel émanant d’une autorité visée au titre 3, l’Autorité de protection des données répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées. Art.12 En application de l’article 23 du Règlement, un responsable du traitement qui communique des don- nées à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi n’est pas soumis aux articles 14.1.e. et 15.1.c. du Règlement et à l’article 20, § 1 er , 6°, de la présente loi et ne peut informer la personne concernée de cette transmission Art.14 § 1 er En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement ne s’appliquent pas aux traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises, et de l’Unité d’information des passagers visés au titre 2, à l’égard: 1° des autorités publiques, dans le sens de l’article 5 de la présente loi, auxquelles les données ont été transmises par ou en vertu de la loi, d ’un décret ou d’une ordonnance; 2° d’autres organes et des organismes auxquelles les données ont été transmises par ou en vertu d’une loi, d’un décret ou d’une ordonnance. § 2. Le responsable du traitement visé au présent titre qui est en possession de données visées au paragraphe 1 er ne les communique pas à la personne concernée à moins que: 1° la loi l’y oblige dans le cadre d’une procédure contentieuse; ou que 2° les autorités judiciaires, les services de police, l’Inspection générale de la police fédérale et de la police locale, la Cellule de Traitement des Informations Financières, l’Administration générale des douanes et accises, et l’Unité d’information des passagers visés au paragraphe 1 er , chacun pour les données les concernant, l’y autorisent. Le responsable du traitement ou l’autorité compétente ne fait aucune mention qu’il est en possession de données émanant de ceux-ci. § 3. Les limitations visées au paragraphe 1 er portent également sur la journalisation des traitements des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises et de l’Unité d’information des passagers dans les banques de données des responsables du traitement visés au présent titre auxquelles ceux-ci ont directement accès. Ces limitations ne s’appliquent qu’aux données traitées initialement pour les finalités visées à l’article 27 de la présente loi. § 4. Les garanties légales visées à l’article 23.2 du Règlement auxquelles les autorités publiques, organes ou organismes doivent répondre sont déterminées par ou en vertu de la loi. Les autorités publiques, organes ou organismes qui traitent les données émanant directement ou indirecte- ment des autorités judiciaires, des services de police, de l ’ Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises et de l’Unité d’information des passagers répondent au minimum aux conditions suivantes: 1° ils adoptent des mesures techniques ou organisationnelles appropriées pour assurer que l’accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service; 2° ils adoptent des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres des autorités publiques, organes ou organismes qui traitent les données visées au § 1 er sont en outre tenus au devoir de discrétion. § 5. Toute demande portant sur l’exercice des droits visés aux articles 12 à 22 du Règlement, adressée à une autorité publique, organe et organisme mentionné au § 1 er , 1° en 2°, est transmise dans les meilleurs délais à l’Autorité de protection des données visée à la loi du 3 décembre 2017 portant création de l’Autorité de protection des données. Lorsque l’Autorité de protection des données est saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, elle procède aux vérifications nécessaires auprès des autorités, organes ou organismes concernés. Lorsque l’Autorité de protection des données a été saisie par la personne concernée, elle informe la per- sonne concernée selon les modalités légales prévues. § 6. Lorsque le traitement porte sur des données initialement traitées par les services de police ou l ’ Inspection générale de la police fédérale et de la police locale, l’Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, s’adresse à l’autorité de contrôle visée à l’article 71 pour qu’elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents. Lorsque l’Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l’autorité visée à l’article 71, l’Autorité de protection des données informe la personne concernée selon les modalités légales prévues. § 7. Lorsque le traitement porte sur des données initialement traitées par les autorités judiciaires, l’Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, s’adresse à l’autorité de contrôle compétente pour les autorités judiciaires pour qu’elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents, visés au § 1 er , 1° et 2° . Lorsque l’Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l’autorité de contrôle compétente pour les autorités judiciaires, l’Autorité de protection des données informe la personne concernée selon les modalités légales prévues. Art.15 En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement, ne s’appliquent pas aux traitements de données à caractère personnel par l’Unité d’information des passagers, tels que visés au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers. Le responsable du traitement ne communique pas les données visées à l’alinéa 1 er à la personne concernée à moins que la loi l’y oblige dans le cadre d’une procédure contentieuse. Le responsable du traitement ne fait aucune mention à la personne concernée qu’il est en possession de données la concernant. Les limitations visées à l’alinéa 1 er portent égale- ment sur la journalisation des traitements effectués par l’Unité d’information des passagers dans les banques de données des responsables du traitement visés par le présent titre. Lorsque l’autorité de contrôle compétente est saisie d’une requête ou d’une plainte où le responsable du traitement fait état de l’application du présent article, l ’autorité de contrôle répond uniquement que les vérifications nécessaires ont été effectuées. Art.17 En application de l’article 23 du Règlement, un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission. Par “banque de données conjointe”, on entend l’exercice commun des missions effectuées dans le cadre du titre 1 er et des titres 2 ou 3 par plusieurs autorités, structurée à l ’ aide de procédés automatisés et appliqués aux données à caractère personnel.
|