Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre
1995, relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre
circulation de ces données
CELEX: 31995L0046
Journal officiel nº L 281 du 23/11/1995 p. 0031 - 0050
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité instituant la Communauté européenne, et notamment
son article 100 A,
vu la proposition de la Commission (FN 1: JO nº C 277 du 5. 11.
1990, p. 3. JO nº C 311 du 27. 11. 1992, p. 30.),
vu l'avis du Comité économique et social (2),(FN 2: JO nº
C 159 du 17. 6. 1991, p. 38.),
statuant conformément à la procédure visée à
l'article 189 B du traité (FN 3: Avis du Parlement
européen du 11 mars 1992 (JO nº C 94 du 13. 4. 1992, p. 198),
confirmé le 2 décembre 1993 (JO nº C 342 du 20. 12. 1993,
p. 30); position commune du Conseil du 20 février 1995 (JO nº C 93
du 13. 4. 1995, p. 1) et décision du Parlement européen du 15 juin
1995 (JO nº C 166 du 3. 7. 1995).),
Passer les Considérants
(1) considérant que les objectifs de la Communauté,
énoncés dans le traité, tel que modifié par le traité
sur l'Union européenne, consistent à réaliser une union sans cesse
plus étroite entre les peuples européens, à établir des
relations plus étroites entre les États que la Communauté
réunit, à assurer par une action commune le progrès
économique et social en éliminant les barrières qui divisent
l'Europe, à promouvoir l'amélioration constante des conditions de vie de
ses peuples, à préserver et conforter la paix et la liberté, et
à promouvoir la démocratie en se fondant sur les droits fondamentaux
reconnus dans les constitutions et les lois des États membres, ainsi que dans la
convention européenne de sauvegarde des droits de l'homme et des libertés
fondamentales;
(2) considérant que les systèmes de traitement de données sont au
service de l'homme; qu'ils doivent, quelle que soit la nationalité ou la
résidence des personnes physiques, respecter les libertés et droits
fondamentaux de ces personnes, notamment la vie privée, et contribuer au
progrès économique et social, au développement des échanges
ainsi qu'au bien-être des individus;
(3) considérant que l'établissement et le fonctionnement du
marché intérieur dans lequel, conformément à l'article 7
A du traité, la libre circulation des marchandises, des personnes, des services et
des capitaux est assurée, nécessitent non seulement que des données
à caractère personnel puissent circuler librement d'un État membre
à l'autre, mais également que les droits fondamentaux des personnes soient
sauvegardés;
(4) considérant que, dans la Communauté, il est fait de plus en plus
fréquemment appel au traitement de données à caractère
personnel dans les divers domaines de l'activité économique et sociale; que
les progrès des technologies de l'information facilitent considérablement
le traitement et l'échange de ces données;
(5) considérant que l'intégration économique et sociale
résultant de l'établissement et du fonctionnement du marché
intérieur au sens de l'article 7 A du traité va nécessairement
entraîner une augmentation sensible des flux transfrontaliers de données
à caractère personnel entre tous les acteurs de la vie économique et
sociale des États membres, que ces acteurs soient privés ou publics; que
l'échange de données à caractère personnel entre des
entreprises établies dans des États membres différents est
appelé à se développer; que les administrations des États
membres sont appelées, en application du droit communautaire, à collaborer
et à échanger entre elles des données à caractère
personnel afin de pouvoir accomplir leur mission ou exécuter des tâches pour
le compte d'une administration d'un autre État membre, dans le cadre de l'espace
sans frontières que constitue le marché intérieur;
(6) considérant, en outre, que le renforcement de la coopération
scientifique et technique ainsi que la mise en place coordonnée de nouveaux
réseaux de télécommunications dans la Communauté
nécessitent et facilitent la circulation transfrontalière de données
à caractère personnel;
(7) considérant que les différences entre États membres quant au
niveau de protection des droits et libertés des personnes, notamment du droit
à la vie privée, à l'égard des traitements de données
à caractère personnel peuvent empêcher la transmission de ces
données du territoire d'un État membre à celui d'un autre
État membre; que ces différences peuvent dès lors constituer un
obstacle à l'exercice d'une série d'activités économiques
à l'échelle communautaire, fausser la concurrence et empêcher les
administrations de s'acquitter des responsabilités qui leur incombent en vertu du
droit communautaire; que ces différences de niveau de protection résultent
de la disparité des dispositions nationales législatives,
réglementaires et administratives;
(8) considérant que, pour éliminer les obstacles à la circulation
des données à caractère personnel, le niveau de protection des
droits et libertés des personnes à l'égard du traitement de ces
données doit être équivalent dans tous les États membres; que
cet objectif, fondamental pour le marché intérieur, ne peut pas être
atteint par la seule action des États membres, compte tenu en particulier de
l'ampleur des divergences qui existent actuellement entre les législations
nationales applicables en la matière et de la nécessité de
coordonner les législations des États membres pour que le flux
transfrontalier de données à caractère personnel soit
réglementé d'une manière cohérente et conforme à
l'objectif du marché intérieur au sens de l'article 7 A du
traité; qu'une intervention de la Communauté visant à un
rapprochement des législations est donc nécessaire;
(9) considérant que, du fait de la protection équivalente
résultant du rapprochement des législations nationales, les États
membres ne pourront plus faire obstacle à la libre circulation entre eux de
données à caractère personnel pour des raisons relatives à la
protection des droits et libertés des personnes, notamment du droit à la
vie privée; que les États membres disposeront d'une marge de manoeuvre qui,
dans le contexte de la mise en oeuvre de la directive, pourra être utilisée
par les partenaires économiques et sociaux; qu'ils pourront donc préciser,
dans leur législation nationale, les conditions générales de
licéité du traitement des données; que, ce faisant, les États
membres s'efforceront d'améliorer la protection assurée actuellement par
leur législation; que, dans les limites de cette marge de manoeuvre et
conformément au droit communautaire, des disparités pourront se produire
dans la mise en oeuvre de la directive et que cela pourra avoir des incidences sur la
circulation des données tant à l'intérieur d'un État membre
que dans la Communauté;
(10) considérant que l'objet des législations nationales relatives au
traitement des données à caractère personnel est d'assurer le
respect des droits et libertés fondamentaux, notamment du droit à la vie
privée reconnu également dans l'article 8 de la convention
européenne de sauvegarde des droits de l'homme et des libertés
fondamentales et dans les principes généraux du droit communautaire; que,
pour cette raison, le rapprochement de ces législations ne doit pas conduire
à affaiblir la protection qu'elles assurent mais doit, au contraire, avoir pour
objectif de garantir un niveau élevé de protection dans la
Communauté;
(11) considérant que les principes de la protection des droits et des
libertés des personnes, notamment du droit à la vie privée, contenus
dans la présente directive précisent et amplifient ceux qui sont contenus
dans la convention, du 28 janvier 1981, du Conseil de l'Europe pour la protection des
personnes à l'égard du traitement automatisé des données
à caractère personnel;
(12) considérant que les principes de la protection doivent s'appliquer
à tout traitement de données à caractère personnel dès
lors que les activités du responsable du traitement relèvent du champ
d'application du droit communautaire; que doit être exclu le traitement de
données effectué par une personne physique dans l'exercice
d'activités exclusivement personnelles ou domestiques, telles la correspondance et
la tenue de répertoires d'adresses;
(13) considérant que les activités visées aux titres V et VI du
traité sur l'Union européenne concernant la sécurité
publique, la défense, la sûreté de l'État ou les
activités de l'État dans le domaine pénal ne relèvent pas du
champ d'application du droit communautaire, sans préjudice des obligations
incombant aux États membres au titre de l'article 56 paragraphe 2 et des
articles 57 et 100 A du traité; que le traitement de données à
caractère personnel qui est nécessaire à la sauvegarde du
bien-être économique de l'État ne relève pas de la
présente directive lorsque ce traitement est lié à des questions de
sûreté de l'État;
(14) considérant que, compte tenu de l'importance du développement en
cours, dans le cadre de la société de l'information, des techniques pour
capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données
constituées par des sons et des images, relatives aux personnes physiques, la
présente directive est appelée à s'appliquer aux traitements portant
sur ces données;
(15) considérant que les traitements portant sur de telles données ne
sont couverts par la présente directive que s'ils sont automatisés ou si
les données sur lesquelles ils portent sont contenues ou sont destinées
à être contenues dans un fichier structuré selon des critères
spécifiques relatifs aux personnes, afin de permettre un accès aisé
aux données à caractère personnel en cause;
(16) considérant que les traitements des données constituées par
des sons et des images, tels que ceux de vidéo-surveillance, ne relèvent
pas du champ d'application de la présente directive s'ils sont mis en oeuvre
à des fins de sécurité publique, de défense, de
sûreté de l'État ou pour l'exercice des activités de
l'État relatives à des domaines du droit pénal ou pour l'exercice
d'autres activités qui ne relèvent pas du champ d'application du droit
communautaire;
(17) considérant que, pour ce qui est des traitements de sons et d'images mis
en oeuvre à des fins de journalisme ou d'expression littéraire ou
artistique, notamment dans le domaine audiovisuel, les principes de la directive
s'appliquent d'une manière restreinte selon les dispositions prévues
à l'article 9;
(18) considérant qu'il est nécessaire, afin d'éviter qu'une
personne soit exclue de la protection qui lui est garantie en vertu de la présente
directive, que tout traitement de données à caractère personnel
effectué dans la Communauté respecte la législation de l'un des
États membres; que, à cet égard, il est opportun de soumettre les
traitements de données effectués par toute personne opérant sous
l'autorité du responsable du traitement établi dans un État membre
à l'application de la législation de cet État;
(19) considérant que l'établissement sur le territoire d'un État
membre suppose l'exercice effectif et réel d'une activité au moyen d'une
installation stable; que la forme juridique retenue pour un tel établissement,
qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité
juridique, n'est pas déterminante à cet égard; que, lorsqu'un
même responsable est établi sur le territoire de plusieurs États
membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue
d'éviter tout contournement, que chacun des établissements remplit les
obligations prévues par le droit national applicable aux activités de
chacun d'eux;
(20) considérant que l'établissement, dans un pays tiers, du responsable
du traitement de données ne doit pas faire obstacle à la protection des
personnes prévue par la présente directive; que, dans ce cas, il convient
de soumettre les traitements de données effectués à la loi de
l'État membre dans lequel des moyens utilisés pour le traitement de
données en cause sont localisés et de prendre des garanties pour que les
droits et obligations prévus par la présente directive soient effectivement
respectés;
(21) considérant que la présente directive ne préjuge pas des
règles de territorialité applicables en matière de droit
pénal;
(22) considérant que les États membres préciseront dans leur
législation ou lors de la mise en oeuvre des dispositions prises en application de
la présente directive les conditions générales dans lesquelles le
traitement de données est licite; que, en particulier, l'article 5, en
liaison avec les articles 7 et 8, permet aux États membres de prévoir,
indépendamment des règles générales, des conditions
particulières pour les traitements de données dans des secteurs
spécifiques et pour les différentes catégories de données
visées à l'article 8;
(23) considérant que les États membres sont habilités à
assurer la mise en oeuvre de la protection des personnes, tant par une loi
générale relative à la protection des personnes à
l'égard du traitement des données à caractère personnel que
par des lois sectorielles telles que celles relatives par exemple aux instituts de
statistiques;
(24) considérant que les législations relatives à la protection
des personnes morales à l'égard du traitement des données qui les
concernent ne sont pas affectées par la présente directive;
(25) considérant que les principes de la protection doivent trouver leur
expression, d'une part, dans les obligations mises à la charge des personnes,
autorités publiques, entreprises, agences ou autres organismes qui traitent des
données, ces obligations concernant en particulier la qualité des
données, la sécurité technique, la notification à
l'autorité de contrôle, les circonstances dans lesquelles le traitement peut
être effectué, et, d'autre part, dans les droits donnés aux personnes
dont les données font l'objet d'un traitement d'être informées sur
celui-ci, de pouvoir accéder aux données, de pouvoir demander leur
rectification, voire de s'opposer au traitement dans certaines circonstances;
(26) considérant que les principes de la protection doivent s'appliquer
à toute information concernant une personne identifiée ou identifiable;
que, pour déterminer si une personne est identifiable, il convient de
considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en
oeuvre, soit par le responsable du traitement, soit par une autre personne, pour
identifier ladite personne; que les principes de la protection ne s'appliquent pas aux
données rendues anonymes d'une manière telle que la personne
concernée n'est plus identifiable; que les codes de conduite au sens de
l'article 27 peuvent être un instrument utile pour fournir des indications sur
les moyens par lesquels les données peuvent être rendues anonymes et
conservées sous une forme ne permettant plus l'identification de la personne
concernée;
(27) considérant que la protection des personnes doit s'appliquer aussi bien au
traitement de données automatisé qu'au traitement manuel; que le champ de
cette protection ne doit pas en effet dépendre des techniques utilisées,
sauf à créer de graves risques de détournement; que, toutefois,
s'agissant du traitement manuel, la présente directive ne couvre que les fichiers
et ne s'applique pas aux dossiers non structurés; que, en particulier, le contenu
d'un fichier doit être structuré selon des critères
déterminés relatifs aux personnes permettant un accès facile aux
données à caractère personnel; que, conformément à la
définition figurant à l'article 2 point c), les différents
critères permettant de déterminer les éléments d'un ensemble
structuré de données à caractère personnel et les
différents critères régissant l'accès à cet ensemble
de données peuvent être définis par chaque État membre; que
les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont
pas structurés selon des critères déterminés n'entrent en
aucun cas dans le champ d'application de la présente directive;
(28) considérant que tout traitement de données à
caractère personnel doit être effectué licitement et loyalement
à l'égard des personnes concernées; qu'il doit, en particulier,
porter sur des données adéquates, pertinentes et non excessives au regard
des finalités poursuivies; que ces finalités doivent être explicites
et légitimes et doivent être déterminées lors de la collecte
des données; que les finalités des traitements ultérieurs à
la collecte ne peuvent pas être incompatibles avec les finalités telles que
spécifiées à l'origine;
(29) considérant que le traitement ultérieur de données à
caractère personnel à des fins historiques, statistiques ou scientifiques
n'est pas considéré en général comme incompatible avec les
finalités pour lesquelles les données ont été auparavant
collectées, dans la mesure où les États membres prévoient des
garanties appropriées; que ces garanties doivent notamment empêcher
l'utilisation des données à l'appui de mesures ou de décisions
prises à l'encontre d'une personne;
(30) considérant que, pour être licite, un traitement de données
à caractère personnel doit en outre être fondé sur le
consentement de la personne concernée ou être nécessaire à la
conclusion ou à l'exécution d'un contrat liant la personne
concernée, ou au respect d'une obligation légale, ou à
l'exécution d'une mission d'intérêt public ou relevant de l'exercice
de l'autorité publique, ou encore à la réalisation d'un
intérêt légitime d'une personne à condition que ne
prévalent pas l'intérêt ou les droits et libertés de la
personne concernée; que, en particulier, en vue d'assurer l'équilibre des
intérêts en cause, tout en garantissant une concurrence effective, les
États membres peuvent préciser les conditions dans lesquelles des
données à caractère personnel peuvent être utilisées et
communiquées à des tiers dans le cadre d'activités légitimes
de gestion courante des entreprises et autres organismes; que, de même, ils peuvent
préciser les conditions dans lesquelles la communication à des tiers de
données à caractère personnel peut être effectuée
à des fins de prospection commerciale, ou de prospection faite par une association
à but caritatif ou par d'autres associations ou fondations, par exemple à
caractère politique, dans le respect de dispositions visant à permettre aux
personnes concernées de s'opposer sans devoir indiquer leurs motifs et sans frais
au traitement des données les concernant;
(31) considérant qu'un traitement de données à caractère
personnel doit être également considéré comme licite lorsqu'il
est effectué en vue de protéger un intérêt essentiel à
la vie de la personne concernée;
(32) considérant qu'il appartient aux législations nationales de
déterminer si le responsable du traitement investi d'une mission
d'intérêt public ou d'une mission relevant de l'exercice de
l'autorité publique doit être une administration publique ou une autre
personne soumise au droit public ou au droit privé, telle qu'une association
professionnelle;
(33) considérant que les données qui sont susceptibles par leur nature
de porter atteinte aux libertés fondamentales ou à la vie privée ne
devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne
concernée; que, cependant, des dérogations à cette interdiction
doivent être expressément prévues pour répondre à des
besoins spécifiques, en particulier lorsque le traitement de ces données
est mis en oeuvre à certaines fins relatives à la santé par des
personnes soumises à une obligation de secret professionnel ou pour la
réalisation d'activités légitimes par certaines associations ou
fondations dont l'objet est de permettre l'exercice de libertés fondamentales;
(34) considérant que les États membres doivent également
être autorisés à déroger à l'interdiction de traiter
des catégories de données sensibles lorsqu'un motif d'intérêt
public important le justifie dans des domaines tels que la santé publique et la
protection sociale - particulièrement afin d'assurer la qualité et la
rentabilité en ce qui concerne les procédures utilisées pour
régler les demandes de prestations et de services dans le régime
d'assurance maladie - et tels que la recherche scientifique et les statistiques
publiques; qu'il leur incombe, toutefois, de prévoir les garanties
appropriées et spécifiques aux fins de protéger les droits
fondamentaux et la vie privée des personnes;
(35) considérant, en outre, que le traitement de données à
caractère personnel par des autorités publiques pour la réalisation
de fins prévues par le droit constitutionnel ou le droit international public, au
profit d'associations à caractère religieux officiellement reconnues, est
mis en oeuvre pour un motif d'intérêt public important;
(36) considérant que, si, dans le cadre d'activités liées
à des élections, le fonctionnement du système démocratique
suppose, dans certains États membres, que les partis politiques collectent des
données relatives aux opinions politiques des personnes, le traitement de telles
données peut être autorisé en raison de l'intérêt public
important, à condition que des garanties appropriées soient
prévues;
(37) considérant que le traitement de données à caractère
personnel à des fins de journalisme ou d'expression artistique ou
littéraire, notamment dans le domaine audiovisuel, doit bénéficier
de dérogations ou de limitations de certaines dispositions de la présente
directive dans la mesure où elles sont nécessaires à la conciliation
des droits fondamentaux de la personne avec la liberté d'expression, et notamment
la liberté de recevoir ou de communiquer des informations, telle que garantie
notamment à l'article 10 de la convention européenne de sauvegarde des
droits de l'homme et des libertés fondamentales; qu'il incombe donc aux
États membres, aux fins de la pondération entre les droits fondamentaux, de
prévoir les dérogations et limitations nécessaires en ce qui
concerne les mesures générales relatives à la légalité
du traitement des données, les mesures relatives au transfert des données
vers des pays tiers ainsi que les compétences des autorités de
contrôle, sans qu'il y ait lieu toutefois de prévoir des dérogations
aux mesures visant à garantir la sécurité du traitement; qu'il
conviendrait également de conférer au moins à l'autorité de
contrôle compétente en la matière certaines compétences a
posteriori, consistant par exemple à publier périodiquement un rapport ou
à saisir les autorités judiciaires;
(38) considérant que le traitement loyal des données suppose que les
personnes concernées puissent connaître l'existence des traitements et
bénéficier, lorsque des données sont collectées auprès
d'elles, d'une information effective et complète au regard des circonstances de
cette collecte;
(39) considérant que certains traitements portent sur des données que le
responsable n'a pas collectées directement auprès de la personne
concernée; que, par ailleurs, des données peuvent être
légitimement communiquées à un tiers, alors même que cette
communication n'avait pas été prévue lors de la collecte des
données auprès de la personne concernée; que, dans toutes ces
hypothèses, l'information de la personne concernée doit se faire au moment
de l'enregistrement des données ou, au plus tard, lorsque les données sont
communiquées pour la première fois à un tiers;
(40) considérant que, cependant, il n'est pas nécessaire d'imposer cette
obligation si la personne concernée est déjà informée; que,
en outre, cette obligation n'est pas prévue si cet enregistrement ou cette
communication sont expressément prévus par la loi ou si l'information de la
personne concernée se révèle impossible ou implique des efforts
disproportionnés, ce qui peut être le cas pour des traitements à des
fins historiques, statistiques ou scientifiques; que, à cet égard, peuvent
être pris en considération le nombre de personnes concernées,
l'ancienneté des données, ainsi que les mesures compensatrices qui peuvent
être prises;
(41) considérant que toute personne doit pouvoir bénéficier du
droit d'accès aux données la concernant qui font l'objet d'un traitement,
afin de s'assurer notamment de leur exactitude et de la licéité de leur
traitement; que, pour les mêmes raisons, toute personne doit en outre avoir le
droit de connaître la logique qui sous-tend le traitement automatisé des
données la concernant, au moins dans le cas des décisions
automatisées visées à l'article 15 paragraphe 1; que ce
droit ne doit pas porter atteinte au secret des affaires ni à la
propriété intellectuelle, notamment au droit d'auteur protégeant le
logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de la
personne concernée;
(42) considérant que les États membres peuvent, dans
l'intérêt de la personne concernée ou en vue de protéger les
droits et libertés d'autrui, limiter les droits d'accès et d'information;
qu'ils peuvent, par exemple, préciser que l'accès aux données
à caractère médical ne peut être obtenu que par
l'intermédiaire d'un professionnel de la santé;
(43) considérant que des restrictions aux droits d'accès et
d'information, ainsi qu'à certaines obligations mises à la charge du
responsable du traitement de données, peuvent également être
prévues par les États membres dans la mesure où elles sont
nécessaires à la sauvegarde, par exemple, de la sûreté de
l'État, de la défense, de la sécurité publique, d'un
intérêt économique ou financier important d'un État membre ou
de l'Union européenne, ainsi qu'à la recherche et à la poursuite
d'infractions pénales ou de manquements à la déontologie des
professions réglementées; qu'il convient d'énumérer, au titre
des exceptions et limitations, les missions de contrôle, d'inspection ou de
réglementation nécessaires dans les trois derniers domaines
précités concernant la sécurité publique,
l'intérêt économique ou financier et la répression
pénale; que cette énumération de missions concernant ces trois
domaines n'affecte pas la légitimité d'exceptions et de restrictions pour
des raisons de sûreté de l'État et de défense;
(44) considérant que les États membres peuvent être amenés,
en vertu de dispositions du droit communautaire, à déroger aux dispositions
de la présente directive concernant le droit d'accès, l'information des
personnes et la qualité des données, afin de sauvegarder certaines
finalités parmi celles visées ci-dessus;
(45) considérant que, dans le cas où des données pourraient faire
l'objet d'un traitement licite sur le fondement d'un intérêt public, de
l'exercice de l'autorité publique ou de l'intérêt légitime
d'une personne, toute personne concernée devrait, toutefois, avoir le droit de
s'opposer, pour des raisons prépondérantes et légitimes tenant
à sa situation particulière, à ce que les données la
concernant fassent l'objet d'un traitement; que les États membres ont,
néanmoins, la possibilité de prévoir des dispositions nationales
contraires;
(46) considérant que la protection des droits et libertés des personnes
concernées à l'égard du traitement de données à
caractère personnel exige que des mesures techniques et d'organisation
appropriées soient prises tant au moment de la conception qu'à celui de la
mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité
et d'empêcher ainsi tout traitement non autorisé; qu'il incombe aux
États membres de veiller au respect de ces mesures par les responsables du
traitement; que ces mesures doivent assurer un niveau de sécurité
approprié tenant compte de l'état de l'art et du coût de leur mise en
oeuvre au regard des risques présentés par les traitements et de la nature
des données à protéger;
(47) considérant que, lorsqu'un message contenant des données à
caractère personnel est transmis via un service de
télécommunications ou de courrier électronique dont le seul objet
est de transmettre des messages de ce type, c'est la personne dont émane le
message, et non celle qui offre le service de transmission, qui sera normalement
considérée comme responsable du traitement de données à
caractère personnel contenues dans le message; que, toutefois, les personnes qui
offrent ces services seront normalement considérées comme responsables du
traitement des données à caractère personnel supplémentaires
nécessaires au fonctionnement du service;
(48) considérant que la notification à l'autorité de
contrôle a pour objet d'organiser la publicité des finalités du
traitement, ainsi que de ses principales caractéristiques, en vue de son
contrôle au regard des dispositions nationales prises en application de la
présente directive;
(49) considérant que, afin d'éviter des formalités
administratives inadéquates, des exonérations ou des simplifications de la
notification peuvent être prévues par les États membres pour les
traitements de données qui ne sont pas susceptibles de porter atteinte aux droits
et libertés des personnes concernées, à condition qu'ils soient
conformes à un acte pris par l'État membre qui en précise les
limites; que des exonérations ou simplifications peuvent pareillement être
prévues par les États membres dès lors qu'une personne
désignée par le responsable du traitement de données s'assure que
les traitements effectués ne sont pas susceptibles de porter atteinte aux droits
et libertés des personnes concernées; que la personne ainsi
détachée à la protection des données, employée ou non
du responsable du traitement de données, doit être en mesure d'exercer ses
fonctions en toute indépendance;
(50) considérant que des exonérations ou simplifications peuvent
être prévues pour le traitement de données dont le seul but est de
tenir un registre destiné, dans le respect du droit national, à
l'information du public et qui est ouvert à la consultation du public ou de toute
personne justifiant d'un intérêt légitime;
(51) considérant que, néanmoins, le bénéfice de la
simplification ou de l'exonération de l'obligation de notification ne dispense le
responsable du traitement de données d'aucune des autres obligations
découlant de la présente directive;
(52) considérant que, dans ce contexte, le contrôle a posteriori par les
autorités compétentes doit être en général
considéré comme une mesure suffisante;
(53) considérant que, cependant, certains traitements sont susceptibles de
présenter des risques particuliers au regard des droits et des libertés des
personnes concernées, du fait de leur nature, de leur portée ou de leurs
finalités telles que celle d'exclure des personnes du bénéfice d'un
droit, d'une prestation ou d'un contrat, ou du fait de l'usage particulier d'une
technologie nouvelle; qu'il appartient aux États membres, s'ils le souhaitent, de
préciser dans leur législation de tels risques;
(54) considérant que, au regard de tous les traitements mis en oeuvre dans la
société, le nombre de ceux présentant de tels risques particuliers
devrait être très restreint; que les États membres doivent
prévoir, pour ces traitements, un examen préalable à leur mise en
oeuvre, effectué par l'autorité de contrôle ou par le
détaché à la protection des données en coopération
avec celle-ci; que, à la suite de cet examen préalable, l'autorité
de contrôle peut, selon le droit national dont elle relève, émettre
un avis ou autoriser le traitement des données; qu'un tel examen peut
également être effectué au cours de l'élaboration soit d'une
mesure législative du Parlement national, soit d'une mesure fondée sur une
telle mesure législative, qui définisse la nature du traitement et
précise les garanties appropriées;
(55) considérant que, en cas de non-respect des droits des personnes
concernées par le responsable du traitement de données, un recours
juridictionnel doit être prévu par les législations nationales; que
les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent
être réparés par le responsable du traitement de données,
lequel peut être exonéré de sa responsabilité s'il prouve que
le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit
l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que
des sanctions doivent être appliquées à toute personne, tant de droit
privé que de droit public, qui ne respecte pas les dispositions nationales prises
en application de la présente directive;
(56) considérant que des flux transfrontaliers de données à
caractère personnel sont nécessaires au développement du commerce
international; que la protection des personnes garantie dans la Communauté par la
présente directive ne s'oppose pas aux transferts de données à
caractère personnel vers des pays tiers assurant un niveau de protection
adéquat; que le caractère adéquat du niveau de protection offert par
un pays tiers doit s'apprécier au regard de toutes les circonstances relatives
à un transfert ou à une catégorie de transferts;
(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau
de protection adéquat, le transfert de données à caractère
personnel vers ce pays doit être interdit;
(58) considérant que des exceptions à cette interdiction doivent pouvoir
être prévues dans certaines circonstances lorsque la personne
concernée a donné son consentement, lorsque le transfert est
nécessaire dans le contexte d'un contrat ou d'une action en justice, lorsque la
sauvegarde d'un intérêt public important l'exige, par exemple en cas
d'échanges internationaux de données entre les administrations fiscales ou
douanières ou entre les services compétents en matière de
sécurité sociale, ou lorsque le transfert est effectué à
partir d'un registre établi par la loi et destiné à être
consulté par le public ou par des personnes ayant un intérêt
légitime; que, dans ce cas, un tel transfert ne devrait pas porter sur la
totalité des données ni sur des catégories de données
contenues dans ce registre; que, lorsqu'un registre est destiné à
être consulté par des personnes qui ont un intérêt
légitime, le transfert ne devrait pouvoir être effectué qu'à
la demande de ces personnes ou lorsqu'elles en sont les destinataires;
(59) considérant que des mesures particulières peuvent être prises
pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le
responsable du traitement présente des garanties appropriées; que, en
outre, des procédures de négociation entre la Communauté et les pays
tiers en cause doivent être prévues;
(60) considérant que, en tout état de cause, les transferts vers les
pays tiers ne peuvent être effectués que dans le plein respect des
dispositions prises par les États membres en application de la présente
directive, et notamment de son article 8;
(61) considérant que les États membres et la Commission, dans leurs
domaines de compétence respectifs, doivent encourager les milieux professionnels
concernés à élaborer des codes de conduite en vue de favoriser,
compte tenu des spécificités du traitement de données
effectué dans certains secteurs, la mise en oeuvre de la présente directive
dans le respect des dispositions nationales prises pour son application;
(62) considérant que l'institution, dans les États membres,
d'autorités de contrôle exerçant en toute indépendance leurs
fonctions est un élément essentiel de la protection des personnes à
l'égard du traitement des données à caractère personnel;
(63) considérant que ces autorités doivent être dotées des
moyens nécessaires à l'exécution de leurs tâches, qu'il
s'agisse des pouvoirs d'investigation et d'intervention, en particulier lorsque les
autorités sont saisies de réclamations, ou du pouvoir d'ester en justice;
qu'elles doivent contribuer à la transparence du traitement de données
effectué dans l'État membre dont elles relèvent;
(64) considérant que les autorités des différents États
membres seront appelées à se prêter mutuellement assistance dans la
réalisation de leurs tâches afin d'assurer le plein respect des
règles de protection dans l'Union européenne;
(65) considérant que, au niveau communautaire, un groupe de travail sur la
protection des personnes à l'égard du traitement des données
à caractère personnel doit être instauré et qu'il doit exercer
ses fonctions en toute indépendance; que, compte tenu de cette
spécificité, il doit conseiller la Commission et contribuer notamment
à l'application homogène des règles nationales adoptées en
application de la présente directive;
(66) considérant que, pour ce qui est du transfert de données vers les
pays tiers, l'application de la présente directive nécessite l'attribution
de compétences d'exécution à la Commission et l'établissement
d'une procédure selon les modalités fixées dans la décision
87/373/CEE du Conseil (FN 1: JO nº L 197 du 18. 7. 1987,
p. 33.);
(67) considérant qu'un accord sur un modus vivendi concernant les mesures
d'exécution des actes arrêtés selon la procédure visée
à l'article 189 B du traité est intervenu, le 20 décembre 1994,
entre le Parlement européen, le Conseil et la Commission;
(68) considérant que les principes énoncés dans la
présente directive et régissant la protection des droits et des
libertés des personnes, notamment du droit à la vie privée, à
l'égard du traitement des données à caractère personnel
pourront être complétés ou précisés, notamment pour
certains secteurs, par des règles spécifiques conformes à ces
principes;
(69) considérant qu'il convient de laisser aux États membres un
délai ne pouvant pas excéder trois ans à compter de l'entrée
en vigueur des mesures nationales de transposition de la présente directive, pour
leur permettre d'appliquer progressivement à tout traitement de données
déjà mis en oeuvre les nouvelles dispositions nationales susvisées;
que, afin de permettre un bon rapport coût-efficacité lors de la mise en
oeuvre de ces dispositions, les États membres sont autorisés à
prévoir une période supplémentaire, expirant douze ans après
la date d'adoption de la présente directive, pour la mise en conformité des
fichiers manuels existants avec certaines dispositions de la directive; que, lorsque des
données contenues dans de tels fichiers font l'objet d'un traitement manuel
effectif pendant cette période transitoire supplémentaire, la mise en
conformité avec ces dispositions doit être effectuée au moment de la
réalisation de ce traitement;
(70) considérant qu'il n'y a pas lieu que la personne concernée donne
à nouveau son consentement pour permettre au responsable de continuer à
effectuer, après l'entrée en vigueur des dispositions nationales prises en
application de la présente directive, un traitement de données sensibles
nécessaire à l'exécution d'un contrat conclu sur la base d'un
consentement libre et informé avant l'entrée en vigueur des dispositions
précitées;
(71) considérant que la présente directive ne s'oppose pas à ce
qu'un État membre réglemente les activités de prospection
commerciale visant les consommateurs qui résident sur son territoire, dans la
mesure où cette réglementation ne concerne pas la protection des personnes
à l'égard du traitement de données à caractère
personnel;
(72) considérant que la présente directive permet de prendre en compte,
dans la mise en oeuvre des règles qu'elle pose, le principe du droit
d'accès du public aux documents administratifs,
ONT ARRÊTÉ LA PRÉSENTE DIRECTIVE:
CHAPITRE PREMIER DISPOSITIONS GÉNÉRALES
1. Les États membres assurent, conformément à la présente
directive, la protection des libertés et droits fondamentaux des personnes
physiques, notamment de leur vie privée, à l'égard du traitement des
données à caractère personnel.
2. Les États membres ne peuvent restreindre ni interdire la libre circulation
des données à caractère personnel entre États membres pour
des raisons relatives à la protection assurée en vertu du
paragraphe 1.
article 2 - Définitions
Aux fins de la présente directive, on entend par:
- «données à caractère personnel»: toute information
concernant une personne physique identifiée ou identifiable (personne
concernée); est réputée identifiable une personne qui peut
être identifiée, directement ou indirectement, notamment par
référence à un numéro d'identification ou à un ou
plusieurs éléments spécifiques, propres à son identité
physique, physiologique, psychique, économique, culturelle ou sociale;
- «traitement de données à caractère personnel»
(traitement): toute opération ou ensemble d'opérations effectuées ou
non à l'aide de procédés automatisés et appliquées
à des données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification,
l'extraction, la consultation, l'utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction;
- «fichier de données à caractère personnel»
(fichier): tout ensemble structuré de données à caractère
personnel accessibles selon des critères déterminés, que cet
ensemble soit centralisé, décentralisé ou réparti de
manière fonctionnelle ou géographique;
- «responsable du traitement»: la personne physique ou morale,
l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du traitement de
données à caractère personnel; lorsque les finalités et les
moyens du traitement sont déterminés par des dispositions
législatives ou réglementaires nationales ou communautaires, le responsable
du traitement ou les critères spécifiques pour le désigner peuvent
être fixés par le droit national ou communautaire;
- «sous-traitement»: la personne physique ou morale, l'autorité
publique, le service ou tout autre organisme qui traite des données à
caractère personnel pour le compte du responsable du traitement;
- «tiers»: la personne physique ou morale, l'autorité publique, le
service ou tout autre organisme autre que la personne concernée, le responsable du
traitement, le sous-traitant et les personnes qui, placées sous l'autorité
directe du responsable du traitement ou du sous-traitant, sont habilitées à
traiter les données;
- «destinataire»: la personne physique ou morale, l'autorité
publique, le service ou tout autre organisme qui reçoit communication de
données, qu'il s'agisse ou non d'un tiers; les autorités qui sont
susceptibles de recevoir communication de données dans le cadre d'une mission
d'enquête particulière ne sont toutefois pas considérées comme
des destinataires;
- «consentement de la personne concernée»: toute manifestation de
volonté, libre, spécifique et informée par laquelle la personne
concernée accepte que des données à caractère personnel la
concernant fassent l'objet d'un traitement.
article 3 - Champ d'application
1. La présente directive s'applique au traitement de données à
caractère personnel, automatisé en tout ou en partie, ainsi qu'au
traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s'applique pas au traitement de données
à caractère personnel:
- mis en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ
d'application du droit communautaire, telles que celles prévues aux titres V et VI
du traité sur l'Union européenne, et, en tout état de cause, aux
traitements ayant pour objet la sécurité publique, la défense, la
sûreté de l'État (y compris le bien-être économique de
l'État lorsque ces traitements sont liés à des questions de
sûreté de l'État) et les activités de l'État relatives
à des domaines du droit pénal,
- effectué par une personne physique pour l'exercice d'activités
exclusivement personnelles ou domestiques.
article 4 - Droit national applicable
1. Chaque État membre applique les dispositions nationales qu'il arrête
en vertu de la présente directive aux traitements de données à
caractère personnel lorsque:
- le traitement est effectué dans le cadre des activités d'un
établissement du responsable du traitement sur le territoire de l'État
membre; si un même responsable du traitement est établi sur le territoire de
plusieurs États membres, il doit prendre les mesures nécessaires pour
assurer le respect, par chacun de ses établissements, des obligations
prévues par le droit national applicable;
- le responsable du traitement n'est pas établi sur le territoire de
l'État membre mais en un lieu où sa loi nationale s'applique en vertu du
droit international public;
- le responsable du traitement n'est pas établi sur le territoire de la
Communauté et recourt, à des fins de traitement de données à
caractère personnel, à des moyens, automatisés ou non, situés
sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés
qu'à des fins de transit sur le territoire de la Communauté.
2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement
doit désigner un représentant établi sur le territoire dudit
État membre, sans préjudice d'actions qui pourraient être introduites
contre le responsable du traitement lui-même.
CHAPITRE II CONDITIONS GÉNÉRALES DE LICÉITÉ DES
TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
article 5
Les États membres précisent, dans les limites des dispositions du
présent chapitre, les conditions dans lesquelles les traitements de données
à caractère personnel sont licites.
SECTION I - PRINCIPES RELATIFS À LA QUALITÉ DES DONNÉES
article 6
1. Les États membres prévoient que les données à
caractère personnel doivent être:
- traitées loyalement et licitement;
- collectées pour des finalités déterminées, explicites et
légitimes, et ne pas être traitées ultérieurement de
manière incompatible avec ces finalités. Un traitement ultérieur
à des fins historiques, statistiques ou scientifiques n'est pas
réputé incompatible pour autant que les États membres
prévoient des garanties appropriées;
- adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont collectées et pour lesquelles elles sont traitées
ultérieurement;
- exactes et, si nécessaire, mises à jour; toutes les mesures
raisonnables doivent être prises pour que les données inexactes ou
incomplètes, au regard des finalités pour lesquelles elles sont
collectées ou pour lesquelles elles sont traitées ultérieurement,
soient effacées ou rectifiées;
- conservées sous une forme permettant l'identification des personnes
concernées pendant une durée n'excédant pas celle nécessaire
à la réalisation des finalités pour lesquelles elles sont
collectées ou pour lesquelles elles sont traitées ultérieurement.
Les États membres prévoient des garanties appropriées pour les
données à caractère personnel qui sont conservées
au-delà de la période précitée, à des fins
historiques, statistiques ou scientifiques.
2. Il incombe au responsable du traitement d'assurer le respect du
paragraphe 1.
SECTION II - PRINCIPES RELATIFS À LA LÉGITIMATION DES TRAITEMENTS DE
DONNÉES
article 7
Les États membres prévoient que le traitement de données à
caractère personnel ne peut être effectué que si:
- la personne concernée a indubitablement donné son consentement
ou
- il est nécessaire à l'exécution d'un contrat auquel la personne
concernée est partie ou à l'exécution de mesures
précontractuelles prises à la demande de celle-ci
ou
- il est nécessaire au respect d'une obligation légale à laquelle
le responsable du traitement est soumis
ou
- il est nécessaire à la sauvegarde de l'intérêt vital de la
personne concernée
ou
- il est nécessaire à l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité publique,
dont est investi le responsable du traitement ou le tiers auquel les données sont
communiquées
ou
- il est nécessaire à la réalisation de l'intérêt
légitime poursuivi par le responsable du traitement ou par le ou les tiers
auxquels les données sont communiquées, à condition que ne
prévalent pas l'intérêt ou les droits et libertés fondamentaux
de la personne concernée, qui appellent une protection au titre de
l'article 1er paragraphe 1.
SECTION III - CATÉGORIES PARTICULIÈRES DE TRAITEMENTS
article 8 - Traitements portant sur des catégories particulières
de données
1. Les États membres interdisent le traitement des données à
caractère personnel qui révèlent l'origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques, l'appartenance
syndicale, ainsi que le traitement des données relatives à la santé
et à la vie sexuelle.
2. Le paragraphe 1 ne s'applique pas lorsque:
- la personne concernée a donné son consentement explicite à un
tel traitement, sauf dans le cas où la législation de l'État membre
prévoit que l'interdiction visée au paragraphe 1 ne peut être
levée par le consentement de la personne concernée
ou
- le traitement est nécessaire aux fins de respecter les obligations et les
droits spécifiques du responsable du traitement en matière de droit du
travail, dans la mesure où il est autorisé par une législation
nationale prévoyant des garanties adéquates
ou
- le traitement est nécessaire à la défense des
intérêts vitaux de la personne concernée ou d'une autre personne dans
le cas où la personne concernée se trouve dans l'incapacité physique
ou juridique de donner son consentement
ou
- le traitement est effectué dans le cadre de leurs activités
légitimes et avec des garanties appropriées par une fondation, une
association ou tout autre organisme à but non lucratif et à finalité
politique, philosophique, religieuse ou syndicale, à condition que le traitement
se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des
contacts réguliers liés à sa finalité et que les
données ne soient pas communiquées à des tiers sans le consentement
des personnes concernées
ou
- le traitement porte sur des données manifestement rendues publiques par la
personne concernée ou est nécessaire à la constatation, à
l'exercice ou à la défense d'un droit en justice.
3. Le paragraphe 1 ne s'applique pas lorsque le traitement des données est
nécessaire aux fins de la médecine préventive, des diagnostics
médicaux, de l'administration de soins ou de traitements ou de la gestion de
services de santé et que le traitement de ces données est effectué
par un praticien de la santé soumis par le droit national ou par des
réglementations arrêtées par les autorités nationales
compétentes au secret professionnel, ou par une autre personne également
soumise à une obligation de secret équivalente.
4. Sous réserve de garanties appropriées, les États membres
peuvent prévoir, pour un motif d'intérêt public important, des
dérogations autres que celles prévues au paragraphe 2, soit par leur
législation nationale, soit sur décision de l'autorité de
contrôle.
5. Le traitement de données relatives aux infractions, aux condamnations
pénales ou aux mesures de sûreté ne peut être effectué
que sous le contrôle de l'autorité publique ou si des garanties
appropriées et spécifiques sont prévues par le droit national, sous
réserve des dérogations qui peuvent être accordées par
l'État membre sur la base de dispositions nationales prévoyant des
garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des
condamnations pénales ne peut être tenu que sous le contrôle de
l'autorité publique.
Les États membres peuvent prévoir que les données relatives aux
sanctions administratives ou aux jugements civils sont également traitées
sous le contrôle de l'autorité publique.
6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5
sont notifiées à la Commission.
7. Les États membres déterminent les conditions dans lesquelles un
numéro national d'identification ou tout autre identifiant de portée
générale peut faire l'objet d'un traitement.
article 9 - Traitements de données à caractère personnel et
liberté d'expression
Les États membres prévoient, pour les traitements de données
à caractère personnel effectués aux seules fins de journalisme ou
d'expression artistique ou littéraire, des exemptions et dérogations au
présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où
elles s'avèrent nécessaires pour concilier le droit à la vie
privée avec les règles régissant la liberté d'expression.
SECTION IV - INFORMATION DE LA PERSONNE CONCERNÉE
article 10 - Informations en cas de collecte de données auprès de
la personne concernée
Les États membres prévoient que le responsable du traitement ou son
représentant doit fournir à la personne auprès de laquelle il
collecte des données la concernant au moins les informations
énumérées ci-dessous, sauf si la personne en est déjà
informée:
- l'identité du responsable du traitement et, le cas échéant, de
son représentant;
- les finalités du traitement auquel les données sont
destinées;
- c) toute information supplémentaire telle que:
- les destinataires ou les catégories de destinataires des données,
- le fait de savoir si la réponse aux questions est obligatoire ou facultative
ainsi que les conséquences éventuelles d'un défaut de
réponse,
- l'existence d'un droit d'accès aux données la concernant et de
rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans
lesquelles les données sont collectées, ces informations
supplémentaires sont nécessaires pour assurer à l'égard de la
personne concernée un traitement loyal des données.
article 11 - Informations lorsque les données n'ont pas été
collectées auprès de la personne concernée
1. Lorsque les données n'ont pas été collectées
auprès de la personne concernée, les États membres prévoient
que le responsable du traitement ou son représentant doit, dès
l'enregistrement des données ou, si une communication de données à
un tiers est envisagée, au plus tard lors de la première communication de
données, fournir à la personne concernée au moins les informations
énumérées ci-dessous, sauf si la personne en est déjà
informée:
- l'identité du responsable du traitement et, le cas échéant, de
son représentant;
- les finalités du traitement;
- toute information supplémentaire telle que:
- les catégories de données concernées,
- les destinataires ou les catégories de destinataires des données,
- l'existence d'un droit d'accès aux données la concernant et de
rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans
lesquelles les données sont collectées, ces informations
supplémentaires sont nécessaires pour assurer à l'égard de la
personne concernée un traitement loyal des données.
2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement
à finalité statistique ou de recherche historique ou scientifique,
l'information de la personne concernée se révèle impossible ou
implique des efforts disproportionnés ou si la législation prévoit
expressément l'enregistrement ou la communication des données. Dans ces
cas, les États membres prévoient des garanties appropriées.
SECTION V - DROIT D'ACCÈS DE LA PERSONNE CONCERNÉE AUX
DONNÉES
article 12 - Droit d'accès
Les États membres garantissent
à toute personne concernée le droit d'obtenir du responsable du traitement:
- sans contrainte, à des intervalles raisonnables et sans délais ou frais
excessifs:
- la confirmation que des données la concernant sont ou ne sont pas
traitées, ainsi que des informations portant au moins sur les finalités du
traitement, les catégories de données sur lesquelles il porte et les
destinataires ou les catégories de destinataires auxquels les données sont
communiquées,
- la communication, sous une forme intelligible, des données faisant l'objet des
traitements, ainsi que de toute information disponible sur l'origine des
données,
- la connaissance de la logique qui sous-tend tout traitement automatisé des
données la concernant, au moins dans le cas des décisions
automatisées visées à l'article 15 paragraphe 1;
- selon le cas, la rectification, l'effacement ou le verrouillage des données
dont le traitement n'est pas conforme à la présente directive, notamment en
raison du caractère incomplet ou inexact des données;
- la notification aux tiers auxquels les données ont été
communiquées de toute rectification, tout effacement ou tout verrouillage
effectué conformément au point b), si cela ne s'avère pas impossible
ou ne suppose pas un effort disproportionné.
SECTION VI - EXCEPTIONS ET LIMITATIONS
article 13 - Exceptions et limitations
1. Les États membres peuvent prendre des mesures législatives visant
à limiter la portée des obligations et des droits prévus à
l'article 6 paragraphe 1, à l'article 10, à
l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation
constitue une mesure nécessaire pour sauvegarder:
- la sûreté de l'État;
- la défense;
- la sécurité publique;
- la prévention, la recherche, la détection et la poursuite d'infractions
pénales ou de manquements à la déontologie dans le cas des
professions réglementées;
- un intérêt économique ou financier important d'un État
membre ou de l'Union européenne, y compris dans les domaines monétaire,
budgétaire et fiscal;
- une mission de contrôle, d'inspection ou de réglementation relevant,
même à titre occasionnel, de l'exercice de l'autorité publique, dans
les cas visés aux points c), d) et e);
- la protection de la personne concernée ou des droits et libertés
d'autrui.
2. Sous réserve de garanties légales appropriées, excluant
notamment que les données puissent être utilisées aux fins de mesures
ou de décisions se rapportant à des personnes précises, les
États membres peuvent, dans le cas où il n'existe manifestement aucun
risque d'atteinte à la vie privée de la personne concernée, limiter
par une mesure législative les droits prévus à l'article 12
lorsque les données sont traitées exclusivement aux fins de la recherche
scientifique ou sont stockées sous la forme de données à
caractère personnel pendant une durée n'excédant pas celle
nécessaire à la seule finalité d'établissement de
statistiques.
SECTION VII - DROIT D'OPPOSITION DE LA PERSONNE CONCERNÉE
article 14 - Droit d'opposition de la personne concernée
Les États membres reconnaissent à la personne concernée le
droit:
- au moins dans les cas visés à l'article 7 points e) et f), de
s'opposer à tout moment, pour des raisons prépondérantes et
légitimes tenant à sa situation particulière, à ce que des
données la concernant fassent l'objet d'un traitement, sauf en cas de disposition
contraire du droit national. En cas d'opposition justifiée, le traitement mis en
oeuvre par le responsable du traitement ne peut plus porter sur ces données;
- de s'opposer, sur demande et gratuitement, au traitement des données à
caractère personnel la concernant envisagé par le responsable du traitement
à des fins de prospection
ou
d'être informée avant que des données à caractère
personnel ne soient pour la première fois communiquées à des tiers
ou utilisées pour le compte de tiers à des fins de prospection et de se
voir expressément offrir le droit de s'opposer, gratuitement, à ladite
communication ou utilisation.
Les États membres prennent les mesures nécessaires pour garantir que les
personnes concernées ont connaissance de l'existence du droit visé au point
b) premier alinéa.
article 15 - Décisions individuelles automatisées
1. Les États membres reconnaissent à toute personne le droit de ne pas
être soumise à une décision produisant des effets juridiques à
son égard ou l'affectant de manière significative, prise sur le seul
fondement d'un traitement automatisé de données destiné à
évaluer certains aspects de sa personnalité, tels que son rendement
professionnel, son crédit, sa fiabilité, son comportement, etc.
2. Les États membres prévoient, sous réserve des autres
dispositions de la présente directive, qu'une personne peut être soumise
à une décision telle que celle visée au paragraphe 1 si une
telle décision:
- est prise dans le cadre de la conclusion ou de l'exécution d'un contrat,
à condition que la demande de conclusion ou d'exécution du contrat,
introduite par la personne concernée, ait été satisfaite ou que des
mesures appropriées, telles que la possibilité de faire valoir son point de
vue, garantissent la sauvegarde de son intérêt légitime
ou
- est autorisée par une loi qui précise les mesures garantissant la
sauvegarde de l'intérêt légitime de la personne
concernée.
SECTION VIII - CONFIDENTIALITÉ ET SÉCURITÉ DES TRAITEMENTS
article 16 - Confidentialité des traitements
Toute personne agissant sous l'autorité du responsable du traitement ou celle
du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à
des données à caractère personnel ne peut les traiter que sur
instruction du responsable du traitement, sauf en vertu d'obligations légales.
article 17 - Sécurité des traitements
1. Les États membres prévoient que le responsable du traitement doit
mettre en oeuvre les mesures techniques et d'organisation appropriées pour
protéger les données à caractère personnel contre la
destruction accidentelle ou illicite, la perte accidentelle, l'altération, la
diffusion ou l'accès non autorisés, notamment lorsque le traitement
comporte des transmissions de données dans un réseau, ainsi que contre
toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts
liés à leur mise en oeuvre, un niveau de sécurité
approprié au regard des risques présentés par le traitement et de la
nature des données à protéger.
2. Les États membres prévoient que le responsable du traitement, lorsque
le traitement est effectué pour son compte, doit choisir un sous-traitant qui
apporte des garanties suffisantes au regard des mesures de sécurité
technique et d'organisation relatives aux traitements à effectuer et qu'il doit
veiller au respect de ces mesures.
3. La réalisation de traitements en sous-traitance doit être régie
par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement
et qui prévoit notamment que:
- le sous-traitant n'agit que sur la seule instruction du responsable du
traitement,
- les obligations visées au paragraphe 1, telles que définies par la
législation de l'État membre dans lequel le sous-traitant est
établi, incombent également à celui-ci.
4. Aux fins de la conservation des preuves, les éléments du contrat ou
de l'acte juridique relatifs à la protection des données et les exigences
portant sur les mesures visées au paragraphe 1 sont consignés par
écrit ou sous une autre forme équivalente.
SECTION IX - NOTIFICATION
article 18 - Obligation de notification à l'autorité de
contrôle
1. Les États membres prévoient que le responsable du traitement, ou le
cas échéant son représentant, doit adresser une notification
à l'autorité de contrôle visée à l'article 28
préalablement à la mise en oeuvre d'un traitement entièrement ou
partiellement automatisé ou d'un ensemble de tels traitements ayant une même
finalité ou des finalités liées.
2. Les États membres ne peuvent prévoir de simplification de la
notification ou de dérogation à cette obligation que dans les cas et aux
conditions suivants:
- lorsque, pour les catégories de traitement qui, compte tenu des données
à traiter, ne sont pas susceptibles de porter atteinte aux droits et
libertés des personnes concernées, ils précisent les
finalités des traitements, les données ou catégories de
données traitées, la ou les catégories de personnes
concernées, les destinataires ou catégories de destinataires auxquels les
données sont communiquées et la durée de conservation des
données
et/ou
- lorsque le responsable du traitement désigne, conformément au droit
national auquel il est soumis, un détaché à la protection des
données à caractère personnel chargé notamment:
- d'assurer, d'une manière indépendante, l'application interne des
dispositions nationales prises en application de la présente directive,
- de tenir un registre des traitements effectués par le responsable du
traitement, contenant les informations visées à l'article 21
paragraphe 2,
et garantissant de la sorte que les traitements ne sont pas susceptibles de porter
atteinte faux droits et libertés des personnes concernées.
3. Les États membres peuvent prévoir que le paragraphe 1 ne
s'applique pas aux traitements ayant pour seul objet la tenue d'un registre qui, en vertu
de dispositions législatives ou réglementaires, est destiné à
l'information du public et est ouvert à la consultation du public ou de toute
personne justifiant d'un intérêt légitime.
4. Les États membres peuvent prévoir une dérogation à
l'obligation de notification ou une simplification de la notification pour les
traitements visés à l'article 8 paragraphe 2 point d).
5. Les États membres peuvent prévoir que les traitements non
automatisés de données à caractère personnel, ou certains
d'entre eux, font l'objet d'une notification, éventuellement
simplifiée.
article 19 - Contenu de la notification
1. Les États membres précisent les informations qui doivent figurer dans
la notification. Elles comprennent au minimum:
- le nom et l'adresse du responsable du traitement et, le cas échéant, de
son représentant;
- la ou les finalités du traitement;
- une description de la ou des catégories de personnes concernées et des
données ou des catégories de données s'y rapportant;
- les destinataires ou les catégories de destinataires auxquels les
données sont susceptibles d'être communiquées;
- les transferts de données envisagés à destination de pays
tiers;
- une description générale permettant d'apprécier de façon
préliminaire le caractère approprié des mesures prises pour assurer
la sécurité du traitement en application de l'article 17.
2. Les États membres précisent les modalités de notification
à l'autorité de contrôle des changements affectant les informations
visées au paragraphe 1.
article 20 - Contrôles préalables
1. Les États membres précisent les traitements susceptibles de
présenter des risques particuliers au regard des droits et libertés des
personnes concernées et veillent à ce que ces traitements soient
examinés avant leur mise en oeuvre.
2. De tels examens préalables sont effectués par l'autorité de
contrôle après réception de la notification du responsable du
traitement ou par le détaché à la protection des données,
qui, en cas de doute, doit consulter l'autorité de contrôle.
3. Les États membres peuvent aussi procéder à un tel examen dans
le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une
mesure fondée sur une telle mesure législative, qui définisse la
nature du traitement et fixe des garanties appropriées.
article 21 - Publicité des traitements
1. Les États membres prennent des mesures pour assurer la publicité des
traitements.
2. Les États membres prévoient que l'autorité de contrôle
tient un registre des traitements notifiés en vertu de l'article 18.
Le registre contient au minimum les informations énumérées
à l'article 19 paragraphe 1 points a) à e).
Le registre peut être consulté par toute personne.
3. En ce qui concerne les traitements non soumis à notification, les
États membres prévoient que le responsable du traitement ou une autre
instance qu'ils désignent communique sous une forme appropriée à
toute personne qui en fait la demande au moins les informations visées à
l'article 19 paragraphe 1 points a) à e). Les États membres
peuvent prévoir que la présente disposition ne s'applique pas aux
traitements ayant pour seul objet la tenue d'un registre qui, en vertu de dispositions
législatives ou réglementaires, est destiné à l'information
du public et est ouvert à la consultation du public ou de toute personne
justifiant d'un intérêt légitime.
CHAPITRE III RECOURS JURIDICTIONNELS, RESPONSABILITÉ ET SANCTIONS
article 22 - Recours
Sans préjudice du recours administratif qui peut être organisé,
notamment devant l'autorité de contrôle visée à
l'article 28, antérieurement à la saisine de l'autorité
judiciaire, les États membres prévoient que toute personne dispose d'un
recours juridictionnel en cas de violation des droits qui lui sont garantis par les
dispositions nationales applicables au traitement en question.
article 23 - Responsabilité
1. Les États membres prévoient que toute personne ayant subi un dommage
du fait d'un traitement illicite ou de toute action incompatible avec les dispositions
nationales prises en application de la présente directive a le droit d'obtenir du
responsable du traitement réparation du préjudice subi.
2. Le responsable du traitement peut être exonéré partiellement ou
totalement de cette responsabilité s'il prouve que le fait qui a provoqué
le dommage ne lui est pas imputable.
article 24 - Sanctions
Les États membres prennent les mesures appropriées pour assurer la
pleine application des dispositions de la présente directive et déterminent
notamment les sanctions à appliquer en cas de violation des dispositions prises en
application de la présente directive.
CHAPITRE IV TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES
PAYS TIERS
article 25 - Principes
1. Les États membres prévoient que le transfert vers un pays tiers de
données à caractère personnel faisant l'objet d'un traitement, ou
destinées à faire l'objet d'un traitement après leur transfert, ne
peut avoir lieu que si, sous réserve du respect des dispositions nationales prises
en application des autres dispositions de la présente directive, le pays tiers en
question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers
s'apprécie au regard de toutes les circonstances relatives à un transfert
ou à une catégorie de transferts de données; en particulier, sont
prises en considération la nature des données, la finalité et la
durée du ou des traitements envisagés, les pays d'origine et de destination
finale, les règles de droit, générales ou sectorielles, en vigueur
dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures
de sécurité qui y sont respectées.
3. Les États membres et la Commission s'informent mutuellement des cas dans
lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection
adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure
prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas
un niveau de protection adéquat au sens du paragraphe 2 du présent
article, les États membres prennent les mesures nécessaires en vue
d'empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de
remédier à la situation résultant de la constatation faite en
application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure
prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un
niveau de protection adéquat au sens du paragraphe 2 du présent
article, en raison de sa législation interne ou de ses engagements internationaux,
souscrits notamment à l'issue des négociations visées au
paragraphe 5, en vue de la protection de la vie privée et des libertés
et droits fondamentaux des personnes.
Les États membres prennent les mesures nécessaires pour se conformer
à la décision de la Commission.
article 26 - Dérogations
1. Par dérogation à l'article 25 et sous réserve de
dispositions contraires de leur droit national régissant des cas particuliers, les
États membres prévoient qu'un transfert de données à
caractère personnel vers un pays tiers n'assurant pas un niveau de protection
adéquat au sens de l'article 25 paragraphe 2 peut être
effectué, à condition que:
- la personne concernée ait indubitablement donné son consentement au
transfert envisagé
ou
- le transfert soit nécessaire à l'exécution d'un contrat entre la
personne concernée et le responsable du traitement ou à l'exécution
de mesures précontractuelles prises à la demande de la personne
concernée
ou
- le transfert soit nécessaire à la conclusion ou à
l'exécution d'un contrat conclu ou à conclure, dans l'intérêt
de la personne concernée, entre le responsable du traitement et un tiers
ou
- le transfert soit nécessaire ou rendu juridiquement obligatoire pour la
sauvegarde d'un intérêt public important, ou pour la constatation,
l'exercice ou la défense d'un droit en justice ou
- le transfert soit nécessaire à la sauvegarde de l'intérêt
vital de la personne concernée
ou
- le transfert intervienne au départ d'un registre public qui, en vertu de
dispositions législatives ou réglementaires, est destiné à
l'information du public et est ouvert à la consultation du public ou de toute
personne justifiant d'un intérêt légitime, dans la mesure où
les conditions légales pour la consultation sont remplies dans le cas
particulier.
2. Sans préjudice du paragraphe 1, un État membre peut autoriser un
transfert, ou un ensemble de transferts, de données à caractère
personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au
sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre
des garanties suffisantes au regard de la protection de la vie privée et des
libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de
l'exercice des droits correspondants; ces garanties peuvent notamment résulter de
clauses contractuelles appropriées.
3. L'État membre informe la Commission et les autres États membres des
autorisations qu'il accorde en application du paragraphe 2.
En cas d'opposition exprimée par un autre État membre ou par la
Commission et dûment justifiée au regard de la protection de la vie
privée et des libertés et droits fondamentaux des personnes, la Commission
arrête les mesures appropriées, conformément à la
procédure prévue à l'article 31 paragraphe 2. Les
États membres prennent les mesures nécessaires pour se conformer à
la décision de la Commission.
4. Lorsque la Commission décide, conformément à la
procédure prévue à l'article 31 paragraphe 2, que
certaines clauses contractuelles types présentent les garanties suffisantes
visées au paragraphe 2, les États membres prennent les mesures
nécessaires pour se conformer à la décision de la Commission.
CHAPITRE V CODES DE CONDUITE
article 27
1. Les États membres et la Commission encouragent l'élaboration de codes
de conduite destinés à contribuer, en fonction de la
spécificité des secteurs, à la bonne application des dispositions
nationales prises par les États membres en application de la présente
directive.
2. Les États membres prévoient que les associations professionnelles et
les autres organisations représentant d'autres catégories de responsables
du traitement qui ont élaboré des projets de codes nationaux ou qui ont
l'intention de modifier ou de proroger des codes nationaux existants peuvent les
soumettre à l'examen de l'autorité nationale.
Les États membres prévoient que cette autorité s'assure, entre
autres, de la conformité des projets qui lui sont soumis avec les dispositions
nationales prises en application de la présente directive. Si elle l'estime
opportun, l'autorité recueille les observations des personnes concernées ou
de leurs représentants.
3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de
codes communautaires existants, peuvent être soumis au groupe visé à
l'article 29. Celui-ci se prononce, entre autres, sur la conformité des
projets qui lui sont soumis avec les dispositions nationales prises en application de la
présente directive. S'il l'estime opportun, il recueille les observations des
personnes concernées ou de leurs représentants. La Commission peut assurer
une publicité appropriée aux codes qui ont été
approuvés par le groupe.
CHAPITRE VI AUTORITÉ DE CONTRôLE ET GROUPE DE PROTECTION DES PERSONNES
À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE
PERSONNEL
article 28 - Autorité de contrôle
1. Chaque État membre prévoit qu'une ou plusieurs autorités
publiques sont chargées de surveiller l'application, sur son territoire, des
dispositions adoptées par les États membres en application de la
présente directive.
Ces autorités exercent en toute indépendance les missions dont elles
sont investies.
2. Chaque État membre prévoit que les autorités de contrôle
sont consultées lors de l'élaboration des mesures réglementaires ou
administratives relatives à la protection des droits et libertés des
personnes à l'égard du traitement de données à
caractère personnel.
3. Chaque autorité de contrôle dispose notamment:
- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données
faisant l'objet d'un traitement et de recueillir toutes les informations
nécessaires à l'accomplissement de sa mission de contrôle,
- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis
préalablement à la mise en oeuvre des traitements, conformément
à l'article 20, et d'assurer une publication appropriée de ces avis ou
celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou
d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un
avertissement ou une admonestation au responsable du traitement ou celui de saisir les
parlements nationaux ou d'autres institutions politiques,
- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises
en application de la présente directive ou du pouvoir de porter ces violations
à la connaissance de l'autorité judiciaire.
Les décisions de l'autorité de contrôle faisant grief peuvent
faire l'objet d'un recours juridictionnel.
4. Chaque autorité de contrôle peut être saisie par toute personne,
ou par une association la représentant, d'une demande relative à la
protection de ses droits et libertés à l'égard du traitement de
données à caractère personnel. La personne concernée est
informée des suites données à sa demande.
Chaque autorité de contrôle peut, en particulier, être saisie par
toute personne d'une demande de vérification de la licéité d'un
traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la
présente directive sont d'application. La personne est à tout le moins
informée de ce qu'une vérification a eu lieu.
5. Chaque autorité de contrôle établit à intervalles
réguliers un rapport sur son activité. Ce rapport est publié.
6. Indépendamment du droit national applicable au traitement en cause, chaque
autorité de contrôle a compétence pour exercer, sur le territoire de
l'État membre dont elle relève, les pouvoirs dont elle est investie
conformément au paragraphe 3. Chaque autorité peut être
appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre
État membre.
Les autorités de contrôle coopèrent entre elles dans la mesure
nécessaire à l'accomplissement de leurs missions, notamment en
échangeant toute information utile.
7. Les États membres prévoient que les membres et agents des
autorités de contrôle sont soumis, y compris après cessation de leurs
activités, à l'obligation du secret professionnel à l'égard
des informations confidentielles auxquelles ils ont accès.
article 29 - Groupe de protection des personnes à l'égard du
traitement des données à caractère personnel
1. Il est institué un groupe de protection des personnes à
l'égard du traitement des données à caractère personnel,
ci-après dénommé «groupe».
Le groupe a un caractère consultatif et indépendant.
2. Le groupe se compose d'un représentant de l'autorité ou des
autorités de contrôle désignées par chaque État membre,
d'un représentant de l'autorité ou des autorités
créées pour les institutions et organismes communautaires et d'un
représentant de la Commission. Chaque membre du groupe est désigné
par l'institution, l'autorité ou les autorités qu'il représente.
Lorsqu'un État membre a désigné plusieurs autorités de
contrôle, celles-ci procèdent à la nomination d'un
représentant commun. Il en va de même pour les autorités
créées pour les institutions et organismes communautaires.
3. Le groupe prend ses décisions à la majorité simple des
représentants des autorités de contrôle.
4. Le groupe élit son président. La durée du mandat du
président est de deux ans. Le mandat est renouvelable.
5. Le secrétariat du groupe est assuré par la Commission.
6. Le groupe établit son règlement intérieur.
7. Le groupe examine les questions mises à l'ordre du jour par son
président, soit à l'initiative de celui-ci, soit à la demande d'un
représentant des autorités de contrôle ou de la Commission.
article 30
1. Le groupe a pour mission:
- d'examiner toute question portant sur la mise en oeuvre des dispositions nationales
prises en application de la présente directive, en vue de contribuer à leur
mise en oeuvre homogène;
- de donner à la Commission un avis sur le niveau de protection dans la
Communauté et dans les pays tiers;
- de conseiller la Commission sur tout projet de modification de la présente
directive, sur tout projet de mesures additionnelles ou spécifiques à
prendre pour sauvegarder les droits et libertés des personnes physiques à
l'égard du traitement des données à caractère personnel,
ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces
droits et libertés;
- de donner un avis sur les codes de conduite élaborés au niveau
communautaire.
2. Si le groupe constate que des divergences, susceptibles de porter atteinte à
l'équivalence de la protection des personnes à l'égard du traitement
des données à caractère personnel dans la Communauté,
s'établissent entre les législations et pratiques des États membres,
il en informe la Commission.
3. Le groupe peut émettre de sa propre initiative des recommandations sur toute
question concernant la protection des personnes à l'égard du traitement de
données à caractère personnel dans la Communauté.
4. Les avis et recommandations du groupe sont transmis à la Commission et au
comité visé à l'article 31.
5. La Commission informe le groupe des suites qu'elle a données à ses
avis et recommandations. Elle rédige à cet effet un rapport qui est
transmis également au Parlement européen et au Conseil. Ce rapport est
publié.
6. Le groupe établit un rapport annuel sur l'état de la protection des
personnes physiques à l'égard du traitement des données à
caractère personnel dans la Communauté et dans les pays tiers, qu'il
communique à la Commission, au Parlement européen et au Conseil. Ce rapport
est publié.
CHAPITRE VII MESURES D'EXÉCUTION COMMUNAUTAIRES
[Annotation: Modifiée par le règlement (CE) nº 1882/2003 du
Parlement européen et du Conseil du 29 septembre 2003 portant adaptation
à la décision 1999/468/CE du Conseil des dispositions relatives aux
comités assistant la Commission dans l'exercice de ses compétences
d'exécution prévues dans des actes soumis à la procédure
visée à l'article 251 du traité CE, Journal officiel n°
L 284 du 31/10/2003 p. 0001 - 0053]
article 31
1. La Commission est assistée par un comité.
2. Dans le cas où il est fait référence au présent
article, les articles 4 et 7 de la décision 1999/468/CE(36) s'appliquent, dans le
respect des dispositions de l'article 8 de celle-ci.
La période prévue à l'article 4, paragraphe 3, de la
décision 1999/468/CE est fixée à trois mois.
3. Le comité adopte son règlement intérieur.
DISPOSITIONS FINALES
article 32
1. Les États membres mettent en vigueur les dispositions législatives,
réglementaires et administratives nécessaires pour se conformer à la
présente directive au plus tard à l'issue d'une période de trois ans
à compter de son adoption. Lorsque les États membres adoptent ces
dispositions, celles-ci contiennent une référence à la
présente directive ou sont accompagnées d'une telle référence
lors de leur publication officielle. Les modalités de cette
référence sont arrêtées par les États membres.
2. Les États membres veillent à ce que les traitements dont la mise en
oeuvre est antérieure à la date d'entrée en vigueur des dispositions
nationales prises en application de la présente directive soient rendus conformes
à ces dispositions au plus tard trois ans après cette date. Par
dérogation à l'alinéa précédent, les États
membres peuvent prévoir que les traitements de données déjà
contenues dans des fichiers manuels à la date d'entrée en vigueur des
dispositions nationales prises en application de la présente directive seront
rendus conformes aux articles 6, 7 et 8 de la présente directive dans un
délai de douze ans à compter de la date d'adoption de celle-ci. Les
États membres permettent toutefois à la personne concernée
d'obtenir, à sa demande et notamment lors de l'exercice du droit d'accès,
la rectification, l'effacement ou le verrouillage des données incomplètes,
inexactes ou conservées d'une manière qui est incompatible avec les fins
légitimes poursuivies par le responsable du traitement.
3. Par dérogation au paragraphe 2, les États membres peuvent
prévoir, sous réserve des garanties appropriées, que les
données conservées dans le seul but de la recherche historique ne soient
pas rendues conformes aux articles 6, 7 et 8 de la présente directive.
4. Les États membres communiquent à la Commission le texte des
dispositions de droit interne qu'ils adoptent dans le domaine régi par la
présente directive.
article 33
Périodiquement, et pour la première fois au plus tard trois ans
après la date prévue à l'article 32 paragraphe 1, la
Commission fait un rapport au Parlement européen et au Conseil sur l'application
de la présente directive et l'assortit, le cas échéant, des
propositions de modification appropriées. Ce rapport est publié.
La Commission examine, en particulier, l'application de la présente directive
aux traitements de données constituées par des sons et des images,
relatives aux personnes physiques, et elle présente les propositions
appropriées qui pourraient s'avérer nécessaires en tenant compte des
développements de la technologie de l'information et à la lumière de
l'état des travaux sur la société de l'information.
article 34
Les États membres sont destinataires de la présente directive.
Fait à Luxembourg, le 24 octobre 1995.
Par le Parlement européen
Le président
K. HAENSCH |
Par le Conseil
Le président
L. ATIENZA SERNA |