CHAPITRE V
OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENTS ET DROITS DES PERSONNE
Section 1 : Obligations incombant aux responsables de traitements
Article 32
I. - La personne auprès de laquelle sont recueillies des données à
caractère personnel la concernant est informée, sauf si elle l’a été au
préalable, par le responsable du traitement ou son représentant :
1° De l’identité du
responsable du traitement et, le cas échéant, de celle de son
représentant ;
2° De la finalité poursuivie par le traitement auquel les
données sont destinées ;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d’un défaut de
réponse ;
5° Des destinataires ou catégories de destinataires des
données ;
6° Des droits qu’elle tient des dispositions de la section 2
du présent chapitre ;
7° Le cas échéant, des transferts de données à caractère
personnel envisagés à destination d’un État non membre de la
Communauté européenne.
Lorsque de telles données sont
recueillies par voie de questionnaires, ceux-ci doivent porter mention
des prescriptions figurant aux 1°, 2°, 3° et 6°.
II. - Toute personne utilisatrice des réseaux de communications
électroniques doit être informée de manière claire et complète par le
responsable du traitement ou son représentant :
- de la finalité de toute action
tendant à accéder, par voie de transmission électronique, à des
informations stockées dans son équipement terminal de connexion, ou
à inscrire, par la même voie, des informations dans son équipement
terminal de connexion ;
- des moyens dont elle dispose
pour s’y opposer.
Ces dispositions ne sont pas
applicables si l’accès aux informations stockées dans l’équipement
terminal de l’utilisateur ou l’inscription d’informations dans
l’équipement terminal de l’utilisateur :
- soit a pour finalité exclusive
de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d’un service de
communication en ligne à la demande expresse de l’utilisateur.
III. - Lorsque les données à
caractère personnel n’ont pas été recueillies auprès de la personne
concernée, le responsable du traitement ou son représentant doit fournir
à cette dernière les informations énumérées au I dès l’enregistrement
des données ou, si une communication des données à des tiers est
envisagée, au plus tard lors de la première communication des données.
Lorsque les données à caractère personnel ont été initialement
recueillies pour un autre objet, les dispositions de l’alinéa précédent
ne s’appliquent pas aux traitements nécessaires à la conservation de ces
données à des fins historiques, statistiques ou scientifiques, dans les
conditions prévues au livre II du code du patrimoine ou à la
réutilisation de ces données à des fins statistiques dans les conditions
de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation,
la coordination et le secret en matière de statistiques. Ces
dispositions ne s’appliquent pas non plus lorsque la personne concernée
est déjà informée ou quand son information se révèle impossible ou exige
des efforts disproportionnés par rapport à l’intérêt de la démarche.
IV. - Si les données à caractère personnel recueillies sont
appelées à faire l’objet à bref délai d’un procédé d’anonymisation
préalablement reconnu conforme aux dispositions de la présente loi par
la Commission nationale de l’informatique et des libertés, les
informations délivrées par le responsable du traitement à la personne
concernée peuvent se limiter à celles mentionnées au 1° et au 2° du I.
V. - Les dispositions du I ne s’appliquent pas aux données
recueillies dans les conditions prévues au III et utilisées lors d’un
traitement mis en oeuvre pour le compte de l’Etat et intéressant la
sûreté de l’État, la défense, la sécurité publique ou ayant pour objet
l’exécution de condamnations pénales ou de mesures de sûreté, dans la
mesure où une telle limitation est nécessaire au respect des fins
poursuivies par le traitement.
VI. - Les dispositions du présent article ne s’appliquent pas aux
traitements de données ayant pour objet la prévention, la recherche, la
constatation ou la poursuite d’infractions pénales.
Article 33
Sauf consentement exprès de la personne concernée, les données à caractère
personnel recueillies par les prestataires de services de certification
électronique pour les besoins de la délivrance et de la conservation des
certificats liés aux signatures électroniques doivent l’être directement auprès
de la personne concernée et ne peuvent être traitées que pour les fins en vue
desquelles elles ont été recueillies.
Article 34
Le responsable du traitement est tenu de prendre toutes précautions
utiles, au regard de la nature des données et des risques présentés par
le traitement, pour préserver la sécurité des données et, notamment,
empêcher qu’elles soient déformées, endommagées, ou que des tiers non
autorisés y aient accès.
Des décrets, pris après avis de la Commission nationale de
l’informatique et des libertés, peuvent fixer les prescriptions
techniques auxquelles doivent se conformer les traitements mentionnés au
2° et au 6° du II de l’article 8.
Article 35
Les données à caractère personnel ne peuvent faire l’objet d’une opération
de traitement de la part d’un sous-traitant, d’une personne agissant sous
l’autorité du responsable du traitement ou de celle du sous-traitant, que sur
instruction du responsable du traitement.
Toute personne traitant des données à caractère personnel pour le compte du
responsable du traitement est considérée comme un sous-traitant au sens de la
présente loi.
Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise
en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article
34. Cette exigence ne décharge pas le responsable du traitement de son
obligation de veiller au respect de ces mesures.
Le contrat liant le sous-traitant au responsable du traitement comporte
l’indication des obligations incombant au sous-traitant en matière de protection
de la sécurité et de la confidentialité des données et prévoit que le
sous-traitant ne peut agir que sur instruction du responsable du traitement.
Article 36
Les données à caractère personnel ne peuvent être conservées au-delà
de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des
fins historiques, statistiques ou scientifiques ; le choix des données
ainsi conservées est opéré dans les conditions prévues à l’article L.
212-4 du code du patrimoine.
Les traitements dont la finalité se limite à assurer la conservation à
long terme de documents d’archives dans le cadre du livre II du même
code sont dispensés des formalités préalables à la mise en oeuvre des
traitements prévues au chapitre IV de la présente loi.
Il peut être procédé à un traitement ayant des finalités autres que
celles mentionnées au premier alinéa :
- soit avec l’accord exprès de
la personne concernée ;
- soit avec l’autorisation de la Commission nationale de
l’informatique et des libertés ;
- soit dans les conditions prévues au 8° du II et au IV de l’article
8 s’agissant de données mentionnées au I de ce même article.
Article 37
Les dispositions de la présente loi ne font pas obstacle à l’application, au
bénéfice de tiers, des dispositions du titre Ier de la loi n° 78-753 du 17
juillet 1978 portant diverses mesures d’amélioration des relations entre
l’administration et le public et diverses dispositions d’ordre administratif,
social et fiscal et des dispositions du livre II du code du patrimoine.
En conséquence, ne peut être regardé comme un tiers non autorisé au sens de
l’article 34 le titulaire d’un droit d’accès aux documents administratifs ou aux
archives publiques exercé conformément à la loi n° 78-753 du 17 juillet 1978
précitée et au livre II du même code.Section 2 : Droits des personnes à l'égard des traitements de données à
caractère personnel
Article 38
Toute personne physique a le droit de s’opposer, pour des motifs légitimes,
à ce que des données à caractère personnel la concernant fassent l’objet d’un
traitement.
Elle a le droit de s’opposer, sans frais, à ce que les données la concernant
soient utilisées à des fins de prospection, notamment commerciale, par le
responsable actuel du traitement ou celui d’un traitement ultérieur.
Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement
répond à une obligation légale ou lorsque l’application de ces dispositions a
été écartée par une disposition expresse de l’acte autorisant le traitement.
Article 39
I. - Toute personne physique justifiant de son identité a le droit
d’interroger le responsable d’un traitement de données à caractère
personnel en vue d’obtenir :
1° La confirmation que
des données à caractère personnel la concernant font ou ne font pas
l’objet de ce traitement ;
2° Des informations relatives aux finalités du traitement,
aux catégories de données à caractère personnel traitées et aux
destinataires ou aux catégories de destinataires auxquels les
données sont communiquées ;
3° Le cas échéant, des informations relatives aux transferts
de données à caractère personnel envisagés à destination d’un État
non membre de la Communauté européenne ;
4° La communication, sous une forme accessible, des données à
caractère personnel qui la concernent ainsi que de toute information
disponible quant à l’origine de celles-ci ;
5° Les informations permettant de connaître et de contester la
logique qui sous-tend le traitement automatisé en cas de décision
prise sur le fondement de celui-ci et produisant des effets
juridiques à l’égard de l’intéressé. Toutefois, les informations
communiquées à la personne concernée ne doivent pas porter atteinte
au droit d’auteur au sens des dispositions du livre Ier et du titre
IV du livre III du code de la propriété intellectuelle.
Une copie des données à caractère
personnel est délivrée à l’intéressé à sa demande. Le responsable du
traitement peut subordonner la délivrance de cette copie au paiement
d’une somme qui ne peut excéder le coût de la reproduction.
En cas de risque de dissimulation ou de disparition des données à
caractère personnel, le juge compétent peut ordonner, y compris en
référé, toutes mesures de nature à éviter cette dissimulation ou cette
disparition.
II. - Le responsable du traitement peut s’opposer aux demandes
manifestement abusives, notamment par leur nombre, leur caractère
répétitif ou systématique. En cas de contestation, la charge de la
preuve du caractère manifestement abusif des demandes incombe au
responsable auprès duquel elles sont adressées.
Les dispositions du présent article ne s’appliquent pas lorsque les
données à caractère personnel sont conservées sous une forme excluant
manifestement tout risque d’atteinte à la vie privée des personnes
concernées et pendant une durée n’excédant pas celle nécessaire aux
seules finalités d’établissement de statistiques ou de recherche
scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa
de l’article 36, les dérogations envisagées par le responsable du
traitement sont mentionnées dans la demande d’autorisation ou dans la
déclaration adressée à la Commission nationale de l’informatique et des
libertés.
Article 40
Toute personne physique justifiant de son identité peut exiger du
responsable d’un traitement que soient, selon les cas, rectifiées, complétées,
mises à jour, verrouillées ou effacées les données à caractère personnel la
concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la
collecte, l’utilisation, la communication ou la conservation est interdite.
Lorsque l’intéressé en fait la demande, le responsable du traitement doit
justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées
en vertu de l’alinéa précédent.
En cas de contestation, la charge de la preuve incombe au responsable auprès
duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données
contestées ont été communiquées par l’intéressé ou avec son accord.
Lorsqu’il obtient une modification de l’enregistrement, l’intéressé est en droit
d’obtenir le remboursement des frais correspondant au coût de la copie
mentionnée au I de l’article 39.
Si une donnée a été transmise à un tiers, le responsable du traitement doit
accomplir les diligences utiles afin de lui notifier les opérations qu’il a
effectuées conformément au premier alinéa.
Les héritiers d’une personne décédée justifiant de leur identité peuvent, si des
éléments portés à leur connaissance leur laissent présumer que les données à
caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été
actualisées, exiger du responsable de ce traitement qu’il prenne en
considération le décès et procède aux mises à jour qui doivent en être la
conséquence.
Lorsque les héritiers en font la demande, le responsable du traitement doit
justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées
en vertu de l’alinéa précédent.Article 41
Par dérogation aux articles 39 et 40, lorsqu’un traitement intéresse la
sûreté de l’État, la défense ou la sécurité publique, le droit d’accès
s’exerce dans les conditions prévues par le présent article pour
l’ensemble des informations qu’il contient.
La demande est adressée à la commission qui désigne l’un de ses membres
appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation
ou à la Cour des comptes pour mener les investigations utiles et faire
procéder aux modifications nécessaires. Celui-ci peut se faire assister
d’un agent de la commission. Il est notifié au requérant qu’il a été
procédé aux vérifications.
Lorsque la commission constate, en accord avec le responsable du
traitement, que la communication des données qui y sont contenues ne met
pas en cause ses finalités, la sûreté de l’État, la défense ou la
sécurité publique, ces données peuvent être communiquées au requérant.
Lorsque le traitement est susceptible de comprendre des informations
dont la communication ne mettrait pas en cause les fins qui lui sont
assignées, l’acte réglementaire portant création du fichier peut prévoir
que ces informations peuvent être communiquées au requérant par le
gestionnaire du fichier directement saisi.
Article 42
Les dispositions de l’article 41 sont applicables aux traitements mis en
oeuvre par les administrations publiques et les personnes privées chargées d’une
mission de service public qui ont pour mission de prévenir, rechercher ou
constater des infractions, ou de contrôler ou recouvrer des impositions, si un
tel droit a été prévu par l’autorisation mentionnée aux articles 25, 26 ou 27.
Article 43
Lorsque l'exercice du droit d'accès s'applique à des données de santé à
caractère personnel, celles-ci peuvent être communiquées à la personne
concernée, selon son choix, directement ou par l'intermédiaire d'un
médecin qu'elle désigne à cet effet, dans le respect des dispositions de
l'article L. 1111-7 du code de la santé publique.
|