arrow_back Retour à tous les articles

Article 36
Consultation préalable

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 36 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 36 keyboard_arrow_up

(37) Un groupe d'entreprises devrait couvrir une entreprise qui exerce le contrôle et ses entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres entreprises du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées devrait être considérée comme formant avec ces dernières un "groupe d'entreprises".

(94) Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en oeuvre, il y a lieu de consulter l'autorité de contrôle avant le début des opérations de traitement. Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique. L'autorité de contrôle devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l'autorité de contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(95) Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

(96) L'autorité de contrôle devrait également être consultée au stade de la préparation d'une mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin d'assurer que le traitement prévu respecte le présent règlement et, en particulier, d'atténuer le risque qu'il comporte pour la personne concernée.

Afficher les considérants de la Directive 95/46 liés à l'article 36 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 36 keyboard_arrow_up

(52) considérant que, dans ce contexte, le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante;

(53) considérant que, cependant, certains traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou du fait de l'usage particulier d'une technologie nouvelle; qu'il appartient aux États membres, s'ils le souhaitent, de préciser dans leur législation de tels risques;

(54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l'autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci; que, à la suite de cet examen préalable, l'autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données; qu'un tel examen peut également être effectué au cours de l'élaboration soit d'une mesure législative du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 20 de la Directive obligeait les États membres à définir des traitements dits « à risque » c’est-à-dire ceux susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées. Il s’agissait notamment des traitements qui du fait de leur nature, de leur portée ou de leurs finalités sont susceptibles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou ceux qui susceptibles de présenter des risques, du fait de l'usage particulier d'une technologie nouvelle (cfr. considérant 53).

Avant la mise en œuvre de ces traitements, des examens préalables devaient être effectués par l’autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci.

Un tel examen préalable pouvait également être effectué dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, définissant la nature du traitement et fixant des garanties appropriées.

Belgique

En droit belge, l’article 17 bis de la loi du 8 décembre 1992 investit le Roi du pouvoir de déterminer les catégories de traitements qui présentent des risques particuliers, ainsi que des conditions particulières pour garantir les droits et libertés des personnes concernées. Aucun texte réglementaire n’a exécuté cette disposition.

Cependant, différentes catégories de traitements (communication de données relatives à la santé et à la sécurité sociales, communications électroniques de données d’autorités publiques vers des tiers, etc.) relèvent de comités sectoriels auprès desquels une demande d’autorisation doit le cas échéant être introduite.

France

La loi Informatique et Libertés, en ses articles 25 à 27, définit les traitements qui doivent faire l’objet, à tout le moins, d’une autorisation de la CNIL avant leur mise en œuvre. Sont notamment visés, les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels ; certains traitements automatisés portant sur des données génétiques ; ° Les traitements, automatisés ou non, certains traitements portant sur des données relatives aux infractions, condamnations ou mesures de sûreté….

Où va-t-on ?

Le responsable doit consulter l’autorité de contrôle avant la mise en œuvre du traitement uniquement lorsque l’analyse d’impact mené par le responsable du traitement en application de l’article 35, révèle que le traitement présente un risque élevé en cas d’absence de mesures appropriées prises par le responsable afin d’atténuer le risque (art. 36, paragraphe 2).

Si l’autorité estime que le traitement n’est pas conforme au Règlement, en particulier si le responsable n’a pas suffisamment identifié ou atténué le risque inhérent au traitement, cette dernière dispose alors d’un délai de huit semaines (pouvant être prolongé de six semaines si la complexité du traitement l’exige) pour conseiller par écrit le responsable du traitement de données -ou le cas échéant, le sous-traitant- en usant, en cas de besoin, des pouvoirs visés à l'article 58 consistant à exiger la communication d’informations, diligenter des enquêtes sous la forme d’audit, obtenir l’accès aux données à caractère personnel, ainsi qu’aux locaux du responsable ou du sous-traitant. La version finale du Règlement précise que le délai dans lequel l’autorité doit rendre son avis est suspendu jusqu’à ce l’autorité ait obtenu les informations qu’elle a sollicitées.

Le paragraphe 6 détermine les modalités de la demande de consultation : le responsable doit indiquer à l’autorité de contrôle la répartition des responsabilités entre le responsable du traitement, les éventuels responsables conjoints du traitement et des sous-traitants ; les finalités et les modalités du traitement ; les mesures et des garanties prévues afin de protéger les droits et les libertés des personnes concernées ; le cas échéant, les coordonnées du délégué à la protection des données ; l’analyse d’impact réalisée, ainsi que toute autre information sollicitée par l’autorité.

Comme cela existait déjà auparavant dans certains pays, le Règlement prévoit que les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative ou d'une mesure réglementaire relative à un traitement de données à caractère personnel (§ 4).

Les États membres peuvent aussi exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable pour le traitement de données effectué dans le cadre d'une mission menée dans l'intérêt public, y compris le traitement de telles données relatives à la protection sociale et à la santé publique.

Difficultés probables

Il appartient donc au responsable –voire au sous-traitant- de consulter l’autorité contrôle si le résultat de l’analyse d’impact révèle que le traitement présente un risque élevé qui ne peut pas être atténué sans l’intervention du responsable du traitement.

La mission exacte de l’autorité n’est pas claire non plus : la consultation a-t-elle pour but de voir l’autorité « conseiller » le responsable dans la prise de mesures adéquates ou d’interdire in fine le responsable de mettre en œuvre le traitement en cause ? Il faudra que les États membres précisent si en réalité il s’agit d’une procédure d’autorisation préalable et si les responsables doivent suivre obligatoirement l’avis de l’autorité.

Règlement
1e 2e

Art. 36

1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2. Lorsque l'autorité de contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l'autorité de contrôle en application du paragraphe 1, il lui communique:

a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;

b) les finalités et les moyens du traitement envisagé;

c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d) le cas échéant, les coordonnées du délégué à la protection des données;

e) l'analyse d'impact relative à la protection des données prévue à l'article 35; et

f) toute autre information que l'autorité de contrôle demande.

4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Proposition 1 close

1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:

a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers;

ou b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.

3. Lorsque l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

4. L'autorité de contrôle établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données.

5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste.

6. Le responsable du traitement ou le sous-traitant fournissent à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a).

9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. (…)

2. Le responsable du traitement (…) consulte l'autorité de contrôle avant le traitement de données à caractère personnel lorsqu'une analyse d'impact relative à la protection des données telle qu'elle est prévue à l'article 33 indique que le traitement présenterait un (...) risque élevé si le responsable du traitement ne devait pas prendre de mesures pour atténuer le risque.

3. Lorsque l'autorité de contrôle est d'avis que le traitement visé au paragraphe 2 ne serait pas conforme au présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle doit, dans un délai maximum de six semaines suivant la demande de consultation, conseiller le responsable du traitement de données, par écrit, et peut utiliser les pouvoirs visés à l'article 53 (...). Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement prévu. En cas de prolongation du délai, le responsable du traitement ou le sous-traitant est informé des raisons du report, dans un délai d'un mois à compter de la réception de la demande.

4. (…)

5. (…)

6. Lorsqu'il consulte l'autorité de contrôle, conformément au paragraphe 2, le responsable du traitement (...) informe l'autorité de contrôle:

a) le cas échéant, des responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants qui interviennent dans le traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;

b) des finalités et des modalités du traitement prévu;

c) des mesures et des garanties prévues afin de protéger les droits et les libertés des personnes concernées conformément au présent règlement;

d) le cas échéant, des coordonnées du délégué à la protection des données;

e) de l'analyse d'impact relative à la protection des données prévue à l'article 33,

et f) de toute (…) autre information demandée par l'autorité de contrôle (…).

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national ou d'une mesure réglementaire fondée sur une telle mesure législative qui prévoit le traitement de données à caractère personnel (...).

7 bis. Nonobstant le paragraphe 2, la législation des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable pour le traitement de données à caractère personnel effectué par un responsable du traitement dans le cadre d'une mission mené par celui-ci dans l'intérêt public, y compris le traitement de telles données relatives à la protection sociale et à la santé publique.

8. (…)

9. (…)

Directive

Art. 20

1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle.

3. Les États membres peuvent aussi procéder à un tel examen dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

France

Art. 25

N.B. : Les article 25 à 27 définissent les traitements qui doivent faire l’objet d’une autorisation (à tout le moins) de la CNIL avant leur mise en œuvre.

I. - Sont mis en oeuvre après autorisation de la Commission nationale de l'informatique et des libertés, à l'exclusion de ceux qui sont mentionnés aux articles 26 et 27 :

1° Les traitements, automatisés ou non, mentionnés au 7° du II, au III et au IV de l'article 8 ;

2° Les traitements automatisés portant sur des données génétiques, à l'exception de ceux d'entre eux qui sont mis en oeuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l'administration de soins ou de traitements ;

3° Les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

4° Les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire ;

5° Les traitements automatisés ayant pour objet :

- l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;

- l'interconnexion de fichiers relevant d'autres personnes et dont les finalités principales sont différentes ;

6° Les traitements portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques et ceux qui requièrent une consultation de ce répertoire sans inclure le numéro d'inscription à celui-ci des personnes ;

7° Les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes ;

8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

II. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

III. - La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée rejetée.

Art. 26

Modifié par Loi n°2004-801 du 6 août 2004 - art. 4 JORF 7 août 2004

I. - Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat et :

1° Qui intéressent la sûreté de l'Etat, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.

L'avis de la commission est publié avec l'arrêté autorisant le traitement.

II. - Ceux de ces traitements qui portent sur des données mentionnées au I de l'article 8 sont autorisés par décret en Conseil d'Etat pris après avis motivé et publié de la commission ; cet avis est publié avec le décret autorisant le traitement.

III. - Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d'Etat, de la publication de l'acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l'acte, le sens de l'avis émis par la commission.

IV. - Pour l'application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.

Art. 27

Modifié par Loi n°2004-801 du 6 août 2004 - art. 4 JORF 7 août 2004

I. - Sont autorisés par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

1° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, qui portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ;

2° Les traitements de données à caractère personnel mis en oeuvre pour le compte de l'Etat qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.

II. - Sont autorisés par arrêté ou, en cas de traitement opéré pour le compte d'un établissement public ou d'une personne morale de droit privé gérant un service public, par décision de l'organe délibérant chargé de leur organisation, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés :

1° Les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I qui requièrent une consultation du répertoire national d'identification des personnes physiques sans inclure le numéro d'inscription à ce répertoire ;

2° Ceux des traitements mentionnés au I :

- qui ne comportent aucune des données mentionnées au I de l'article 8 ou à l'article 9 ;

- qui ne donnent pas lieu à une interconnexion entre des traitements ou fichiers correspondant à des intérêts publics différents ;

- et qui sont mis en oeuvre par des services ayant pour mission, soit de déterminer les conditions d'ouverture ou l'étendue d'un droit des administrés, soit d'établir l'assiette, de contrôler ou de recouvrer des impositions ou taxes de toute nature, soit d'établir des statistiques ;

3° Les traitements relatifs au recensement de la population, en métropole et dans les collectivités situées outre-mer ;

4° Les traitements mis en oeuvre par l'Etat ou les personnes morales mentionnées au I aux fins de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique, si ces traitements portent sur des données parmi lesquelles figurent le numéro d'inscription des personnes au répertoire national d'identification ou tout autre identifiant des personnes physiques.

III. - Les dispositions du IV de l'article 26 sont applicables aux traitements relevant du présent article.

Art. 28

Modifié par Loi n°2004-801 du 6 août 2004 - art. 4 JORF 7 août 2004

I. - La Commission nationale de l'informatique et des libertés, saisie dans le cadre des articles 26 ou 27, se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

II. - L'avis demandé à la commission sur un traitement, qui n'est pas rendu à l'expiration du délai prévu au I, est réputé favorable.

Belgique

Art. 17bis

Le Roi détermine, après avis de la Commission de la protection de la vie privée, les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées, et fixe, également sur proposition de la Commission de la protection de la vie privée, des conditions particulières pour garantir les droits et libertés des personnes concernées.

Il peut en particulier déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la présente loi ainsi que de ses mesures d'exécution.

Le Roi détermine par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, le statut du préposé à la protection des données.

 

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK