> Actualités

Archivistes : s’informer sur le règlement général de protection des données personnelles

A l’occasion de la journée du 30 mars 2018 intitulée « Open data et protection des données personnelles : où en sommes-nous ? », nous mettons à votre disposition les articles et considérants qui intéressent les archivistes.
Télécharger le document

mardi 27 mars 2018
  • Imprimer

Règlement géné­ral de pro­tec­tion des don­nées per­son­nel­les
Considérants et arti­cles concer­nant les archi­ves

Considérant 158
Lorsque les don­nées à carac­tère per­son­nel sont trai­tées à des fins archi­vis­ti­ques, le pré­sent règle­ment devrait également s’appli­quer à ce trai­te­ment, étant entendu qu’il ne devrait pas s’appli­quer aux des per­son­nes décé­dées. Les auto­ri­tés publi­ques ou les orga­nis­mes publics ou privés qui conser­vent des archi­ves dans l’inté­rêt public devraient être des ser­vi­ces qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obli­ga­tion légale de col­lec­ter, de conser­ver, d’évaluer, d’orga­ni­ser, de décrire, de com­mu­ni­quer, de mettre en valeur, de dif­fu­ser des archi­ves qui sont à conser­ver à titre défi­ni­tif dans l’inté­rêt public géné­ral et d’y donner accès. Les États mem­bres devraient également être auto­ri­sés à pré­voir un trai­te­ment ulté­rieur des don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques, par exem­ple en vue de four­nir des infor­ma­tions pré­ci­ses rela­ti­ves au com­por­te­ment poli­ti­que sous les régi­mes des anciens États tota­li­tai­res, aux géno­ci­des, aux crimes contre l’huma­nité, notam­ment l’Holocauste, ou aux crimes de guerre.

Article 5
Principes rela­tifs au trai­te­ment des don­nées à carac­tère per­son­nel
1. Les don­nées à carac­tère per­son­nel doi­vent être :
a) trai­tées de manière licite, loyale et trans­pa­rente au regard de la per­sonne concer­née (licéité, loyauté, trans­pa­rence) ;
b) col­lec­tées pour des fina­li­tés déter­mi­nées, expli­ci­tes et légi­ti­mes, et ne pas être trai­tées ulté­rieu­re­ment d’une manière incom­pa­ti­ble avec ces fina­li­tés ; le trai­te­ment ulté­rieur à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques n’est pas consi­déré, confor­mé­ment à l’arti­cle 89, para­gra­phe 1, comme incom­pa­ti­ble avec les fina­li­tés ini­tia­les (limi­ta­tion des fina­li­tés) ;
c) adé­qua­tes, per­ti­nen­tes et limi­tées à ce qui est néces­saire au regard des fina­li­tés pour les­quel­les elles sont trai­tées (mini­mi­sa­tion des don­nées) ;
d) exac­tes et, si néces­saire, tenues à jour ; toutes les mesu­res rai­son­na­bles doi­vent être prises pour que les don­nées à carac­tère per­son­nel qui sont inexac­tes, eu égard aux fina­li­tés pour les­quel­les elles sont trai­tées, soient effa­cées ou rec­ti­fiées sans tarder (exac­ti­tude) ;
e) conser­vées sous une forme per­met­tant l’iden­ti­fi­ca­tion des per­son­nes concer­nées pen­dant une durée n’excé­dant pas celle néces­saire au regard des fina­li­tés pour les­quel­les elles sont trai­tées ; les don­nées à carac­tère per­son­nel peu­vent être conser­vées pour des durées plus lon­gues dans la mesure où elles seront trai­tées exclu­si­ve­ment à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques confor­mé­ment à l’arti­cle 89, para­gra­phe 1, pour autant que soient mises en œuvre les mesu­res tech­ni­ques et orga­ni­sa­tion­nel­les appro­priées requi­ses par le pré­sent règle­ment afin de garan­tir les droits et liber­tés de la per­sonne concer­née (limi­ta­tion de la conser­va­tion) ;
f) trai­tées de façon à garan­tir une sécu­rité appro­priée des don­nées à carac­tère per­son­nel, y com­pris la pro­tec­tion contre le trai­te­ment non auto­risé ou illi­cite et contre la perte, la des­truc­tion ou les dégâts d’ori­gine acci­den­telle, à l’aide de mesu­res tech­ni­ques ou orga­ni­sa­tion­nel­les appro­priées (inté­grité et confi­den­tia­lité) ;
2. Le res­pon­sa­ble du trai­te­ment est res­pon­sa­ble du res­pect du para­gra­phe 1 et est en mesure de démon­trer que celui-ci est res­pecté (res­pon­sa­bi­lité).

CONSIDERANTS ASSOCIÉS (Art. 5)
(50) Le trai­te­ment de don­nées a carac­tère per­son­nel pour d’autres fina­li­tés que celles pour les­quel­les les don­nées a carac­tère per­son­nel ont été col­lec­tées ini­tia­le­ment ne devrait être auto­rise que s’il est com­pa­ti­ble avec les fina­li­tés pour les­quel­les les don­nées à carac­tère per­son­nel ont été col­lec­tées ini­tia­le­ment. Dans ce cas, aucune base juri­di­que dis­tincte de celle qui a permis la col­lecte des don­nées a carac­tère per­son­nel n’est requise. Si le trai­te­ment est néces­saire a l’exé­cu­tion d’une mis­sion d’inté­rêt public ou rele­vant de l’exer­cice de l’auto­rité publi­que dont est investi le res­pon­sa­ble du trai­te­ment, le droit de l’Union ou le droit d’un Etat membre peut déter­mi­ner et pré­ci­ser les mis­sions et les fina­li­tés pour les­quel­les le trai­te­ment ulté­rieur devrait être consi­déré comme com­pa­ti­ble et licite. Le trai­te­ment ulté­rieur a des fins archi­vis­ti­ques dans l’inté­rêt public, a des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou a des fins sta­tis­ti­ques devrait être consi­déré comme une opé­ra­tion de trai­te­ment licite com­pa­ti­ble. La base juri­di­que prévue par le droit de l’Union ou le droit d’un Etat membre en ce qui concerne le trai­te­ment de don­nées a carac­tère per­son­nel peut également cons­ti­tuer la base juri­di­que pour un trai­te­ment ulté­rieur, Afin d’établir si les fina­li­tés d’un trai­te­ment ulté­rieur sont com­pa­ti­bles avec celles pour les­quel­les les don­nées a carac­tère per­son­nel ont été col­lec­tées ini­tia­le­ment, le res­pon­sa­ble du trai­te­ment, après avoir res­pecte toutes les exi­gen­ces liées a la licéité du trai­te­ment ini­tial, devrait tenir compte, entre autres : de tout lien entre ces fina­li­tés et les fina­li­tés du trai­te­ment ulté­rieur prévu ; du contexte dans les­quel­les don­nées à carac­tère per­son­nel ont été col­lec­tées, en par­ti­cu­lier les atten­tes rai­son­na­bles des per­son­nes concer­nées, en fonc­tion de leur rela­tion avec le res­pon­sa­ble du trai­te­ment, Quant a l’uti­li­sa­tion ulté­rieure des­di­tes don­nées ; la nature des don­nées II carac­tère per­son­nel ; les consé­quen­ces pour les per­son­nes concer­nées du trai­te­ment ulté­rieur prévu ; et l’exis­tence de garan­ties appro­priées a la fois dans le cadre du trai­te­ment ini­tial et du trai­te­ment ulté­rieur prévu. ( ... ).
(157) En com­bi­nant les infor­ma­tions issues des regis­tres, les cher­cheurs peu­vent acqué­rir de nou­vel­les connais­san­ces d’un grand inté­rêt en ce qui concerne des pro­blè­mes médi­caux très répan­dus tels que les mala­dies car­dio­vas­cu­lai­res, le cancer et la dépres­sion. Sur la base des regis­tres, les résul­tats de la recher­che peu­vent être amé­lio­rés car ils s’appuient sur un échantillon plus large de popu­la­tion. Dans le cadre des scien­ces socia­les, la recher­che sur la base des regis­tres permet aux cher­cheurs d’acqué­rir des connais­san­ces essen­tiel­les sur les cor­ré­la­tions II long terme exis­tant entre un cer­tain nombre de condi­tions socia­les telles que le chô­mage et l’éducation et d’autres condi­tions de vie. Les résul­tats de la recher­che obte­nus a l’aide des regis­tres four­nis­sent des connais­san­ces fia­bles et de grande qua­lité qui peu­vent servir de base a l’élaboration et a la mise en oeuvre d’une poli­ti­que fondée sur la connais­sance, amé­lio­rer la qua­lité de vie d’un cer­tain nombre de per­son­nes et ren­for­cer l’effi­ca­cité des ser­vi­ces sociaux. Pour faci­li­ter la recher­che scien­ti­fi­que, les don­nées a carac­tère per­son­nel peu­vent être trai­tées a des fins de recher­che scien­ti­fi­que sous réserve de condi­tions et de garan­ties appro­priées pré­vues dans le droit de l’Union ou le droit des Etats mem­bres.

Article 9
Traitement por­tant sur des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel
1. Le trai­te­ment des don­nées à carac­tère per­son­nel qui révèle l’ori­gine raciale ou eth­ni­que, les opi­nions poli­ti­ques, les convic­tions reli­gieu­ses ou phi­lo­so­phi­ques ou l’appar­te­nance syn­di­cale, ainsi que le trai­te­ment des don­nées géné­ti­ques, des don­nées bio­mé­tri­ques aux fins d’iden­ti­fier une per­sonne phy­si­que de manière unique, des don­nées concer­nant la santé ou des don­nées concer­nant la vie sexuelle ou l’orien­ta­tion sexuelle d’une per­sonne phy­si­que sont inter­dits.
2. Le para­gra­phe 1 ne s’appli­que pas si l’une des condi­tions sui­van­tes est rem­plie :
a) la per­sonne concer­née a donné son consen­te­ment expli­cite au trai­te­ment de ces don­nées à carac­tère per­son­nel pour une ou plu­sieurs fina­li­tés spé­ci­fi­ques, sauf lors­que le droit de l’Union ou le droit de l’État membre pré­voit que l’inter­dic­tion visée au para­gra­phe 1 ne peut pas être levée par la per­sonne concer­née ;
b) le trai­te­ment est néces­saire aux fins de l’exé­cu­tion des obli­ga­tions et de l’exer­cice des droits pro­pres au res­pon­sa­ble du trai­te­ment ou à la per­sonne concer­née en matière de droit du tra­vail, de la sécu­rité sociale et de la pro­tec­tion sociale, dans la mesure où ce trai­te­ment est auto­risé par le droit de l’Union, par le droit d’un État membre ou par une conven­tion col­lec­tive conclue en vertu du droit d’un État membre qui pré­voit des garan­ties appro­priées pour les droits fon­da­men­taux et les inté­rêts de la per­sonne concer­née ;
c) le trai­te­ment est néces­saire à la sau­ve­garde des inté­rêts vitaux de la per­sonne concer­née ou d’une autre per­sonne phy­si­que, dans le cas où la per­sonne concer­née se trouve dans l’inca­pa­cité phy­si­que ou juri­di­que de donner son consen­te­ment ;
d) le trai­te­ment est effec­tué, dans le cadre de leurs acti­vi­tés légi­ti­mes et moyen­nant les garan­ties appro­priées, par une fon­da­tion, une asso­cia­tion ou tout autre orga­nisme à but non lucra­tif et pour­sui­vant une fina­lité poli­ti­que, phi­lo­so­phi­que, reli­gieuse ou syn­di­cale, à condi­tion que ledit trai­te­ment se rap­porte exclu­si­ve­ment aux mem­bres ou aux anciens mem­bres dudit orga­nisme ou aux per­son­nes entre­te­nant avec celui-ci des contacts régu­liers en liai­son avec ses fina­li­tés et que les don­nées à carac­tère per­son­nel ne soient pas com­mu­ni­quées en dehors de cet orga­nisme sans le consen­te­ment des per­son­nes concer­nées ;
e) le trai­te­ment porte sur des don­nées à carac­tère per­son­nel qui sont mani­fes­te­ment ren­dues publi­ques par la per­sonne concer­née ;
f) le trai­te­ment est néces­saire à la cons­ta­ta­tion, à l’exer­cice ou à la défense d’un droit en jus­tice ou chaque fois que des juri­dic­tions agis­sent dans le cadre de leur fonc­tion juri­dic­tion­nelle ;
g) le trai­te­ment est néces­saire pour des motifs d’inté­rêt public impor­tant, sur la base du droit de l’Union ou du droit d’un ’État membre qui doit être pro­por­tionné à l’objec­tif pour­suivi, res­pec­ter l’essence du droit à la pro­tec­tion des don­nées et pré­voir des mesu­res appro­priées et spé­ci­fi­ques pour la sau­ve­garde des droits fon­da­men­taux et des inté­rêts de la per­sonne concer­née ;
h) le trai­te­ment est néces­saire aux fins de la méde­cine pré­ven­tive ou de la méde­cine du tra­vail, de l’appré­cia­tion de la capa­cité de tra­vail du tra­vailleur, de diag­nos­tics médi­caux, de la prise en charge sani­taire ou sociale, ou de la ges­tion des sys­tè­mes et des ser­vi­ces de soins de santé ou de pro­tec­tion sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un pro­fes­sion­nel de la santé et soumis aux condi­tions et garan­ties visées au para­gra­phe 3 ;
i) le trai­te­ment est néces­saire pour des motifs d’inté­rêt public dans le domaine de la santé publi­que, tels que la pro­tec­tion contre les mena­ces trans­fron­ta­liè­res graves pesant sur la santé, ou aux fins de garan­tir des normes élevées de qua­lité et de sécu­rité des soins de santé et des médi­ca­ments ou des dis­po­si­tifs médi­caux, sur la base du droit de l’Union ou du droit de l’État membre qui pré­voit des mesu­res appro­priées et spé­ci­fi­ques pour la sau­ve­garde des droits et liber­tés de la per­sonne concer­née, notam­ment le secret pro­fes­sion­nel ;
j) le trai­te­ment est néces­saire à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques, confor­mé­ment à l’arti­cle 89, para­gra­phe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être pro­por­tionné à l’objec­tif pour­suivi, res­pec­ter l’essence du droit à la pro­tec­tion des don­nées et pré­voir des mesu­res appro­priées et spé­ci­fi­ques pour la sau­ve­garde des droits fon­da­men­taux et des inté­rêts de la per­sonne concer­née.
3. Les don­nées à carac­tère per­son­nel visées au para­gra­phe 1 peu­vent faire l’objet d’un trai­te­ment aux fins pré­vues au para­gra­phe 2, point h), si ces don­nées sont trai­tées par un pro­fes­sion­nel de la santé soumis à une obli­ga­tion de secret pro­fes­sion­nel confor­mé­ment au droit de l’Union, au droit d’un État membre ou aux règles arrê­tées par les orga­nis­mes natio­naux com­pé­tents, ou sous sa res­pon­sa­bi­lité, ou par une autre per­sonne également sou­mise à une obli­ga­tion de secret confor­mé­ment au droit de l’Union ou au droit d’un État membre ou aux règles arrê­tées par les orga­nis­mes natio­naux com­pé­tents.
4. Les États mem­bres peu­vent main­te­nir ou intro­duire des condi­tions sup­plé­men­tai­res, y com­pris des limi­ta­tions, en ce qui concerne le trai­te­ment des don­nées géné­ti­ques, des don­nées bio­mé­tri­ques ou des don­nées concer­nant la santé.

CONSIDERANTS ASSOCIÉS (Art. 9)
(33) Souvent, il n’est pas pos­si­ble de cerner entiè­re­ment la fina­lité du trai­te­ment des don­nées à carac­tère per­son­nel à des fins de recher­che scien­ti­fi­que au moment de la col­lecte des don­nées. Par consé­quent, les per­son­nes concer­nées devraient pou­voir donner leur consen­te­ment en ce qui concerne cer­tains domai­nes de la recher­che scien­ti­fi­que, dans le res­pect des normes éthiques reconnues en matière de recher­che scien­ti­fi­que. Les per­son­nes concer­nées devraient pou­voir donner leur consen­te­ment uni­que­ment pour ce qui est de cer­tains domai­nes de la recher­che ou de cer­tai­nes par­ties de pro­jets de recher­che, dans la mesure où la fina­lité visée le permet.
(35) Les don­nées à carac­tère per­son­nel concer­nant la santé devraient com­pren­dre l’ensem­ble des don­nées se rap­por­tant à l’état de santé d’une per­sonne concer­née qui révè­lent des infor­ma­tions sur l’état de santé phy­si­que ou men­tale passé, pré­sent ou futur de la per­sonne concer­née. Cela com­prend des infor­ma­tions sur la per­sonne phy­si­que col­lec­tées lors de l’ins­crip­tion de cette per­sonne phy­si­que en vue de béné­fi­cier de ser­vi­ces de soins de santé ou lors de la pres­ta­tion de ces ser­vi­ces au sens de la direc­tive 2011/24/UE du Parlement euro­péen et du Conseil ( 1 ) au béné­fice de cette per­sonne phy­si­que ; un numéro, un sym­bole ou un élément spé­ci­fi­que attri­bué à une per­sonne phy­si­que pour l’iden­ti­fier de manière unique à des fins de santé ; des infor­ma­tions obte­nues lors du test ou de l’examen d’une partie du corps ou d’une sub­stance cor­po­relle, y com­pris à partir de don­nées géné­ti­ques et d’échantillons bio­lo­gi­ques ; et toute infor­ma­tion concer­nant, par exem­ple, une mala­die, un han­di­cap, un risque de mala­die, les anté­cé­dents médi­caux, un trai­te­ment cli­ni­que ou l’état phy­sio­lo­gi­que ou bio­mé­di­cal de la per­sonne concer­née, indé­pen­dam­ment de sa source, qu’elle pro­vienne par exem­ple d’un méde­cin ou d’un autre pro­fes­sion­nel de la santé, d’un hôpi­tal, d’un dis­po­si­tif médi­cal ou d’un test de diag­nos­tic in vitro.
(51) Les don­nées à carac­tère per­son­nel qui sont, par nature, par­ti­cu­liè­re­ment sen­si­bles du point de vue des liber­tés et des droits fon­da­men­taux méri­tent une pro­tec­tion spé­ci­fi­que, car le contexte dans lequel elles sont trai­tées pour­rait engen­drer des ris­ques impor­tants pour ces liber­tés et droits. Ces don­nées à carac­tère per­son­nel devraient com­pren­dre les don­nées à carac­tère per­son­nel qui révè­lent l’ori­gine raciale ou eth­ni­que, étant entendu que l’uti­li­sa­tion de l’expres­sion « ori­gine raciale » dans le pré­sent règle­ment n’impli­que pas que l’Union adhère à des théo­ries ten­dant à établir l’exis­tence de races humai­nes dis­tinc­tes. Le trai­te­ment des pho­to­gra­phies ne devrait pas sys­té­ma­ti­que­ment être consi­déré comme cons­ti­tuant un trai­te­ment de caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel, étant donné que celles-ci ne relè­vent de la défi­ni­tion de don­nées bio­mé­tri­ques que lorsqu’elles sont trai­tées selon un mode tech­ni­que spé­ci­fi­que per­met­tant l’iden­ti­fi­ca­tion ou l’authen­ti­fi­ca­tion unique d’une per­sonne phy­si­que. De telles don­nées à carac­tère per­son­nel ne devraient pas faire l’objet d’un trai­te­ment, à moins que celui-ci ne soit auto­risé dans des cas spé­ci­fi­ques prévus par le pré­sent règle­ment, compte tenu du fait que le droit d’un État membre peut pré­voir des dis­po­si­tions spé­ci­fi­ques rela­ti­ves à la pro­tec­tion des don­nées visant à adap­ter l’appli­ca­tion des règles du pré­sent règle­ment en vue de res­pec­ter une obli­ga­tion légale ou pour l’exé­cu­tion d’une mis­sion d’inté­rêt public ou rele­vant de l’exer­cice de l’auto­rité publi­que dont est investi le res­pon­sa­ble du trai­te­ment. Outre les exi­gen­ces spé­ci­fi­ques appli­ca­bles à ce trai­te­ment, les prin­ci­pes géné­raux et les autres règles du pré­sent règle­ment devraient s’appli­quer, en par­ti­cu­lier en ce qui concerne les condi­tions de licéité du trai­te­ment. Des déro­ga­tions à l’inter­dic­tion géné­rale de trai­ter ces caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel devraient être expli­ci­te­ment pré­vues, entre autres lors­que la per­sonne concer­née donne son consen­te­ment expli­cite ou pour répon­dre à des besoins spé­ci­fi­ques, en par­ti­cu­lier lors­que le trai­te­ment est effec­tué dans le cadre d’acti­vi­tés légi­ti­mes de cer­tai­nes asso­cia­tions ou fon­da­tions ayant pour objet de per­met­tre l’exer­cice des liber­tés fon­da­men­ta­les.
(52) Des déro­ga­tions à l’inter­dic­tion de trai­ter des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel devraient également être auto­ri­sées lors­que le droit de l’Union ou le droit d’un État membre le pré­voit, et sous réserve de garan­ties appro­priées, de manière à pro­té­ger les don­nées à carac­tère per­son­nel et d’autres droits fon­da­men­taux, lors­que l’inté­rêt public le com­mande, notam­ment le trai­te­ment des don­nées à carac­tère per­son­nel dans le domaine du droit du tra­vail et du droit de la pro­tec­tion sociale, y com­pris les retrai­tes, et à des fins de sécu­rité, de sur­veillance et d’alerte sani­taire, de pré­ven­tion ou de contrôle de mala­dies trans­mis­si­bles et d’autres mena­ces graves pour la santé. Ces déro­ga­tions sont pos­si­bles à des fins de santé, en ce com­pris la santé publi­que et la ges­tion des ser­vi­ces de soins de santé, en par­ti­cu­lier pour assu­rer la qua­lité et l’effi­cience des pro­cé­du­res de règle­ment des deman­des de pres­ta­tions et de ser­vi­ces dans le régime d’assu­rance-mala­die, ou à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques. Une déro­ga­tion devrait, en outre, per­met­tre le trai­te­ment de ces don­nées à carac­tère per­son­nel, si cela est néces­saire aux fins de la cons­ta­ta­tion, de l’exer­cice ou de la défense d’un droit en jus­tice, que ce soit dans le cadre d’une pro­cé­dure judi­ciaire, admi­nis­tra­tive ou extra­ju­di­ciaire.
(53) Les caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel qui méri­tent une pro­tec­tion plus élevée ne devraient être trai­tées qu’à des fins liées à la santé, lors­que cela est néces­saire pour attein­dre ces fina­li­tés dans l’inté­rêt des per­son­nes phy­si­ques et de la société dans son ensem­ble, notam­ment dans le cadre de la ges­tion des ser­vi­ces et des sys­tè­mes de soins de santé ou de pro­tec­tion sociale, y com­pris le trai­te­ment, par les auto­ri­tés de ges­tion et les auto­ri­tés cen­tra­les de santé natio­na­les, de ces don­nées, en vue du contrôle de la qua­lité, de l’infor­ma­tion des ges­tion­nai­res et de la super­vi­sion géné­rale, au niveau natio­nal et local, du sys­tème de soins de santé ou de pro­tec­tion sociale et en vue d’assu­rer la conti­nuité des soins de santé ou de la pro­tec­tion sociale et des soins de santé trans­fron­ta­liers ou à des fins de sécu­rité, de sur­veillance et d’alerte sani­tai­res, ou à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques, sur la base du droit de l’Union ou du droit des États mem­bres qui doit répon­dre à un objec­tif d’inté­rêt public, ainsi que pour des études menées dans l’inté­rêt public dans le domaine de la santé publi­que. Le pré­sent règle­ment devrait dès lors pré­voir des condi­tions har­mo­ni­sées pour le trai­te­ment des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel rela­ti­ves à la santé, pour répon­dre à des besoins spé­ci­fi­ques, en par­ti­cu­lier lors­que le trai­te­ment de ces don­nées est effec­tué pour cer­tai­nes fins liées à la santé par des per­son­nes sou­mi­ses à une obli­ga­tion légale de secret pro­fes­sion­nel. Le droit de l’Union ou le droit des États mem­bres devrait pré­voir des mesu­res spé­ci­fi­ques et appro­priées de façon à pro­té­ger les droits fon­da­men­taux et les don­nées à carac­tère per­son­nel des per­son­nes phy­si­ques. Les États mem­bres devraient être auto­ri­sés à main­te­nir ou à intro­duire des condi­tions sup­plé­men­tai­res, y com­pris des limi­ta­tions, en ce qui concerne le trai­te­ment des don­nées géné­ti­ques, des don­nées bio­mé­tri­ques ou des don­nées concer­nant la santé. Toutefois, cela ne devrait pas entra­ver le libre flux des don­nées à carac­tère per­son­nel au sein de l’Union lors­que ces condi­tions s’appli­quent au trai­te­ment trans­fron­ta­lier de ces don­nées.
(54) Le trai­te­ment des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel peut être néces­saire pour des motifs d’inté­rêt public dans les domai­nes de la santé publi­que, sans le consen­te­ment de la per­sonne concer­née. Un tel trai­te­ment devrait faire l’objet de mesu­res appro­priées et spé­ci­fi­ques de façon à pro­té­ger les droits et liber­tés des per­son­nes phy­si­ques. Dans ce contexte, la notion de « santé publi­que » devrait s’inter­pré­ter selon la défi­ni­tion conte­nue dans le règle­ment (CE) n o 1338/2008 du Parlement euro­péen et du Conseil ( 1 ), à savoir tous les éléments rela­tifs à la santé, à savoir l’état de santé, mor­bi­dité et han­di­cap inclus, les déter­mi­nants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les res­sour­ces consa­crées aux soins de santé, la four­ni­ture de soins de santé, l’accès uni­ver­sel à ces soins, les dépen­ses de santé et leur finan­ce­ment, ainsi que les causes de mor­ta­lité. De tels trai­te­ments de don­nées concer­nant la santé pour des motifs d’inté­rêt public ne devraient pas abou­tir à ce que des don­nées à carac­tère per­son­nel soient trai­tées à d’autres fins par des tiers, tels que les employeurs ou les com­pa­gnies d’assu­rance et les ban­ques.
(55) En outre, le trai­te­ment de don­nées à carac­tère per­son­nel par des auto­ri­tés publi­ques aux fins de réa­li­ser les objec­tifs, prévus par le droit cons­ti­tu­tion­nel ou le droit inter­na­tio­nal public, d’asso­cia­tions à carac­tère reli­gieux offi­ciel­le­ment reconnues est effec­tué pour des motifs d’inté­rêt public.
(75) Des ris­ques pour les droits et liber­tés des per­son­nes phy­si­ques, dont le degré de pro­ba­bi­lité et de gra­vité varie, peu­vent résul­ter du trai­te­ment de don­nées à carac­tère per­son­nel qui est sus­cep­ti­ble d’entraî­ner des dom­ma­ges phy­si­ques, maté­riels ou un pré­ju­dice moral, en par­ti­cu­lier : lors­que le trai­te­ment peut donner lieu à une dis­cri­mi­na­tion, à un vol ou une usur­pa­tion d’iden­tité, à une perte finan­cière, à une atteinte à la répu­ta­tion, à une perte de confi­den­tia­lité de don­nées pro­té­gées par le secret pro­fes­sion­nel, à un ren­ver­se­ment non auto­risé du pro­ces­sus de pseu­do­ny­mi­sa­tion ou à tout autre dom­mage économique ou social impor­tant ; lors­que les per­son­nes concer­nées pour­raient être pri­vées de leurs droits et liber­tés ou empê­chées d’exer­cer le contrôle sur leurs don­nées à carac­tère per­son­nel ; lors­que le trai­te­ment concerne des don­nées à carac­tère per­son­nel qui révè­lent l’ori­gine raciale ou eth­ni­que, les opi­nions poli­ti­ques, la reli­gion ou les convic­tions phi­lo­so­phi­ques, l’appar­te­nance syn­di­cale, ainsi que des don­nées géné­ti­ques, des don­nées concer­nant la santé ou des don­nées concer­nant la vie sexuelle ou des don­nées rela­ti­ves à des condam­na­tions péna­les et à des infrac­tions, ou encore à des mesu­res de sûreté connexes ; lors­que des aspects per­son­nels sont évalués, notam­ment dans le cadre de l’ana­lyse ou de la pré­dic­tion d’éléments concer­nant le ren­de­ment au tra­vail, la situa­tion économique, la santé, les pré­fé­ren­ces ou cen­tres d’inté­rêt per­son­nels, la fia­bi­lité ou le com­por­te­ment, la loca­li­sa­tion ou les dépla­ce­ments, en vue de créer ou d’uti­li­ser des pro­fils indi­vi­duels ; lors­que le trai­te­ment porte sur des don­nées à carac­tère per­son­nel rela­ti­ves à des per­son­nes phy­si­ques vul­né­ra­bles, en par­ti­cu­lier les enfants ; ou lors­que le trai­te­ment porte sur un volume impor­tant de don­nées à carac­tère per­son­nel et touche un nombre impor­tant de per­son­nes concer­nées.


Article 17
Droit à l’effa­ce­ment (« droit à l’oubli »)
1. La per­sonne concer­née a le droit d’obte­nir du res­pon­sa­ble du trai­te­ment l’effa­ce­ment, dans les meilleurs délais, de don­nées à carac­tère per­son­nel la concer­nant et le res­pon­sa­ble du trai­te­ment a l’obli­ga­tion d’effa­cer ces don­nées à carac­tère per­son­nel dans les meilleurs délais, lors­que l’un des motifs sui­vants s’appli­que :
a) les don­nées à carac­tère per­son­nel ne sont plus néces­sai­res au regard des fina­li­tés pour les­quel­les elles ont été col­lec­tées ou trai­tées d’une autre manière ;
b) la per­sonne concer­née retire le consen­te­ment sur lequel est fondé le trai­te­ment, confor­mé­ment à l’arti­cle 6, para­gra­phe 1, point a), ou à l’arti­cle 9, para­gra­phe 2, point a), et il n’existe pas d’autre fon­de­ment juri­di­que au trai­te­ment ;
c) la per­sonne concer­née s’oppose au trai­te­ment en vertu de l’arti­cle 21, para­gra­phe 1, et il n’existe pas de motif légi­time impé­rieux pour le trai­te­ment, ou la per­sonne concer­née s’oppose au trai­te­ment en vertu de l’arti­cle 21, para­gra­phe 2 ;
d) les don­nées à carac­tère per­son­nel ont fait l’objet d’un trai­te­ment illi­cite ;
e) les don­nées à carac­tère per­son­nel doi­vent être effa­cées pour res­pec­ter une obli­ga­tion légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le res­pon­sa­ble du trai­te­ment est soumis ;
f) les don­nées à carac­tère per­son­nel ont été col­lec­tées dans le cadre de l’offre de ser­vi­ces de la société de l’infor­ma­tion visée à l’arti­cle 8, para­gra­phe 1.
2. Lorsqu’il a rendu publi­ques les don­nées à carac­tère per­son­nel et qu’il est tenu de les effa­cer en vertu du para­gra­phe 1, le res­pon­sa­ble du trai­te­ment, compte tenu des tech­no­lo­gies dis­po­ni­bles et des coûts de mise en œuvre, prend des mesu­res rai­son­na­bles, y com­pris d’ordre tech­ni­que, pour infor­mer les res­pon­sa­bles du trai­te­ment qui trai­tent ces don­nées à carac­tère per­son­nel que la per­sonne concer­née a demandé l’effa­ce­ment par ces res­pon­sa­bles du trai­te­ment de tout lien vers ces don­nées à carac­tère per­son­nel, ou de toute copie ou repro­duc­tion de celles-ci.
3. Les para­gra­phes 1 et 2 ne s’appli­quent pas dans la mesure où ce trai­te­ment est néces­saire :
a) à l’exer­cice du droit à la liberté d’expres­sion et d’infor­ma­tion ;
b) pour res­pec­ter une obli­ga­tion légale qui requiert le trai­te­ment prévue par le droit de l’Union ou par le droit de l’État membre auquel le res­pon­sa­ble du trai­te­ment est soumis, ou pour exé­cu­ter une mis­sion d’inté­rêt public ou rele­vant de l’exer­cice de l’auto­rité publi­que dont est investi le res­pon­sa­ble du trai­te­ment ;
c) pour des motifs d’inté­rêt public dans le domaine de la santé publi­que, confor­mé­ment à l’arti­cle 9, para­gra­phe 2, points h) et i), ainsi qu’à l’arti­cle 9, para­gra­phe 3 ;
d) à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques confor­mé­ment à l’arti­cle 89, para­gra­phe 1, dans la mesure où le droit visé au para­gra­phe 1 est sus­cep­ti­ble de rendre impos­si­ble ou de com­pro­met­tre gra­ve­ment la réa­li­sa­tion des objec­tifs dudit trai­te­ment ; ou
e) à la cons­ta­ta­tion, à l’exer­cice ou à la défense de droits en jus­tice.

CONSIDERANTS ASSOCIÉS (Art. 17)
(65) Les per­son­nes concer­nées devraient avoir le droit de faire rec­ti­fier des don­nées à carac­tère per­son­nel les concer­nant, et dis­po­ser d’un « droit à l’oubli » lors­que la conser­va­tion de ces don­nées cons­ti­tue une vio­la­tion du pré­sent règle­ment ou du droit de l’Union ou du droit d’un État membre auquel le res­pon­sa­ble du trai­te­ment est soumis. En par­ti­cu­lier, les per­son­nes concer­nées devraient avoir le droit d’obte­nir que leurs don­nées à carac­tère per­son­nel soient effa­cées et ne soient plus trai­tées, lors­que ces don­nées à carac­tère per­son­nel ne sont plus néces­sai­res au regard des fina­li­tés pour les­quel­les elles ont été col­lec­tées ou trai­tées d’une autre manière, lors­que les per­son­nes concer­nées ont retiré leur consen­te­ment au trai­te­ment ou lorsqu’elles s’oppo­sent au trai­te­ment de don­nées à carac­tère per­son­nel les concer­nant, ou encore lors­que le trai­te­ment de leurs don­nées à carac­tère per­son­nel ne res­pecte pas d’une autre manière le pré­sent règle­ment. Ce droit est per­ti­nent, en par­ti­cu­lier, lors­que la per­sonne concer­née a donné son consen­te­ment à l’époque où elle était enfant et n’était pas plei­ne­ment cons­ciente des ris­ques inhé­rents au trai­te­ment, et qu’elle sou­haite par la suite sup­pri­mer ces don­nées à carac­tère per­son­nel, en par­ti­cu­lier sur l’inter­net. La per­sonne concer­née devrait pou­voir exer­cer ce droit nonobs­tant le fait qu’elle n’est plus un enfant. Toutefois, la conser­va­tion ulté­rieure des don­nées à carac­tère per­son­nel devrait être licite lorsqu’elle est néces­saire à l’exer­cice du droit à la liberté d’expres­sion et d’infor­ma­tion, au res­pect d’une obli­ga­tion légale, à l’exé­cu­tion d’une mis­sion d’inté­rêt public ou rele­vant de l’exer­cice de l’auto­rité publi­que dont est investi le res­pon­sa­ble du trai­te­ment, pour des motifs d’inté­rêt public dans le domaine de la santé publi­que, à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques, ou à la cons­ta­ta­tion, à l’exer­cice ou à la défense de droits en jus­tice.
(66) Afin de ren­for­cer le « droit à l’oubli » numé­ri­que, le droit à l’effa­ce­ment devrait également être étendu de façon à ce que le res­pon­sa­ble du trai­te­ment qui a rendu les don­nées à carac­tère per­son­nel publi­ques soit tenu d’infor­mer les res­pon­sa­bles du trai­te­ment qui trai­tent ces don­nées à carac­tère per­son­nel qu’il convient d’effa­cer tout lien vers ces don­nées, ou toute copie ou repro­duc­tion de celles-ci. Ce fai­sant, ce res­pon­sa­ble du trai­te­ment devrait pren­dre des mesu­res rai­son­na­bles, compte tenu des tech­no­lo­gies dis­po­ni­bles et des moyens dont il dis­pose, y com­pris des mesu­res tech­ni­ques afin d’infor­mer les res­pon­sa­bles du trai­te­ment qui trai­tent les don­nées à carac­tère per­son­nel de la demande for­mu­lée par la per­sonne concer­née.
(156) Le trai­te­ment des don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques devrait être soumis à des garan­ties appro­priées pour les droits et liber­tés de la per­sonne concer­née, en vertu du pré­sent règle­ment. Ces garan­ties devraient per­met­tre la mise en place de mesu­res tech­ni­ques et orga­ni­sa­tion­nel­les pour assu­rer, en par­ti­cu­lier, le res­pect du prin­cipe de mini­mi­sa­tion des don­nées. Le trai­te­ment ulté­rieur de don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques doit être effec­tué lors­que que le res­pon­sa­ble du trai­te­ment a évalué s’il est pos­si­ble d’attein­dre ces fina­li­tés grâce à un trai­te­ment de don­nées qui ne per­met­tent pas ou plus d’iden­ti­fier les per­son­nes concer­nées, pour autant que des garan­ties appro­priées exis­tent (comme par exem­ple la pseu­do­ny­mi­sa­tion des don­nées). Les États mem­bres devraient pré­voir des garan­ties appro­priées pour le trai­te­ment de don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques. Les États mem­bres devraient être auto­ri­sés à pré­voir, dans des condi­tions spé­ci­fi­ques et moyen­nant des garan­ties appro­priées pour les per­son­nes concer­nées, des dis­po­si­tions par­ti­cu­liè­res et des déro­ga­tions concer­nant les exi­gen­ces en matière d’infor­ma­tion et les droits à la rec­ti­fi­ca­tion, à l’effa­ce­ment, à l’oubli, à la limi­ta­tion du trai­te­ment, à la por­ta­bi­lité des don­nées et le droit d’oppo­si­tion lors­que les don­nées à carac­tère per­son­nel sont trai­tées à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques. Les condi­tions et garan­ties en ques­tion peu­vent com­por­ter des pro­cé­du­res spé­ci­fi­ques per­met­tant aux per­son­nes concer­nées d’exer­cer ces droits si cela est appro­prié eu égard aux fina­li­tés du trai­te­ment spé­ci­fi­que concerné, ainsi que des mesu­res tech­ni­ques et orga­ni­sa­tion­nel­les visant à réduire à un mini­mum le trai­te­ment des don­nées à carac­tère per­son­nel confor­mé­ment aux prin­ci­pes de pro­por­tion­na­lité et de néces­sité. Le trai­te­ment de don­nées à carac­tère per­son­nel à des fins scien­ti­fi­ques devrait également res­pec­ter d’autres dis­po­si­tions légis­la­ti­ves per­ti­nen­tes, telles que celles rela­ti­ves aux essais cli­ni­ques.

Article 40
Codes de conduite
1. Les États mem­bres, les auto­ri­tés de contrôle, le comité et la Commission encou­ra­gent l’élaboration de codes de conduite des­ti­nés à contri­buer à la bonne appli­ca­tion du pré­sent règle­ment, compte tenu de la spé­ci­fi­cité des dif­fé­rents sec­teurs de trai­te­ment et des besoins spé­ci­fi­ques des micro, peti­tes et moyen­nes entre­pri­ses.
2. Les asso­cia­tions et autres orga­nis­mes repré­sen­tant des caté­go­ries de res­pon­sa­bles du trai­te­ment ou de sous-trai­tants peu­vent élaborer des codes de conduite, les modi­fier ou les pro­ro­ger, aux fins de pré­ci­ser les moda­li­tés d’appli­ca­tion du pré­sent règle­ment, telles que :
a) le trai­te­ment loyal et trans­pa­rent ;
b) les inté­rêts légi­ti­mes pour­sui­vis par les res­pon­sa­bles du trai­te­ment dans des contex­tes spé­ci­fi­ques ;
c) la col­lecte des don­nées à carac­tère per­son­nel ;
d) la pseu­do­ny­mi­sa­tion des don­nées à carac­tère per­son­nel ;
e) les infor­ma­tions com­mu­ni­quées au public et aux per­son­nes concer­nées ;
f) l’exer­cice des droits des per­son­nes concer­nées ;
g) les infor­ma­tions com­mu­ni­quées aux enfants et la pro­tec­tion dont béné­fi­cient les enfants et la manière d’obte­nir le consen­te­ment des titu­lai­res de la res­pon­sa­bi­lité paren­tale à l’égard de l’enfant ;
h) les mesu­res et les pro­cé­du­res visées aux arti­cles 24 et 25 et les mesu­res visant à assu­rer la sécu­rité du trai­te­ment visées à l’arti­cle 32 ;
i) la noti­fi­ca­tion aux auto­ri­tés de contrôle des vio­la­tions de don­nées à carac­tère per­son­nel et la com­mu­ni­ca­tion de ces vio­la­tions aux per­son­nes concer­nées ;
j) le trans­fert de don­nées à carac­tère per­son­nel vers des pays tiers ou à des orga­ni­sa­tions inter­na­tio­na­les ; ou
k) les pro­cé­du­res extra­ju­di­ciai­res et autres pro­cé­du­res de règle­ment des liti­ges per­met­tant de résou­dre les liti­ges entre les res­pon­sa­bles du trai­te­ment et les per­son­nes concer­nées en ce qui concerne le trai­te­ment, sans pré­ju­dice des droits des per­son­nes concer­nées au titre des arti­cles 77 et 79.
3. Outre leur appli­ca­tion par les res­pon­sa­bles du trai­te­ment ou les sous-trai­tants soumis au pré­sent règle­ment, les codes de conduite qui sont approu­vés en vertu du para­gra­phe 5 du pré­sent arti­cle et qui sont d’appli­ca­tion géné­rale en vertu du para­gra­phe 9 du pré­sent arti­cle peu­vent aussi être appli­qués par des res­pon­sa­bles du trai­te­ment ou des sous-trai­tants qui ne sont pas soumis au pré­sent règle­ment en vertu de l’arti­cle 3, afin de four­nir des garan­ties appro­priées dans le cadre des trans­ferts de don­nées à carac­tère per­son­nel vers un pays tiers ou à une orga­ni­sa­tion inter­na­tio­nale dans les condi­tions visées à l’arti­cle 46, para­gra­phe 2, point e). Ces res­pon­sa­bles du trai­te­ment ou sous-trai­tants pren­nent l’enga­ge­ment contrai­gnant et doté de force obli­ga­toire au moyen d’ins­tru­ments contrac­tuels ou d’autres ins­tru­ments juri­di­que­ment contrai­gnants, d’appli­quer ces garan­ties appro­priées, y com­pris en ce qui concerne les droits des per­son­nes concer­nées.
4. Le code de conduite visé au para­gra­phe 2 du pré­sent arti­cle com­prend les méca­nis­mes per­met­tant à l’orga­nisme visé à l’arti­cle 41, para­gra­phe 1, de pro­cé­der au contrôle obli­ga­toire du res­pect de ses dis­po­si­tions par les res­pon­sa­bles du trai­te­ment ou les sous-trai­tants qui s’enga­gent à l’appli­quer, sans pré­ju­dice des mis­sions et des pou­voirs de l’auto­rité de contrôle qui est com­pé­tente en vertu de l’arti­cle 55 ou 56.  
5. Les asso­cia­tions et autres orga­nis­mes visés au para­gra­phe 2 du pré­sent arti­cle qui ont l’inten­tion d’élaborer un code de conduite ou de modi­fier ou pro­ro­ger un code de conduite exis­tant sou­met­tent le projet de code, la modi­fi­ca­tions ou la pro­ro­ga­tion à l’auto­rité de contrôle qui est com­pé­tente en vertu de l’arti­cle 55. L’auto­rité de contrôle rend un avis sur la ques­tion de savoir si le projet de code, la modi­fi­ca­tion ou la pro­ro­ga­tion res­pecte le pré­sent règle­ment et approuve ce projet de code, cette modi­fi­ca­tion ou cette pro­ro­ga­tion si elle estime qu’il offre des garan­ties appro­priées suf­fi­san­tes.
6. Lorsque le projet de code, la modi­fi­ca­tion ou la pro­ro­ga­tion est approuvé confor­mé­ment au para­gra­phe 5, et lors­que le code de conduite concerné ne porte pas sur des acti­vi­tés de trai­te­ment menées dans plu­sieurs États mem­bres, l’auto­rité de contrôle enre­gis­tre et publie le code de conduite.
7. Lorsque le projet de code de conduite concerne des acti­vi­tés de trai­te­ment menées dans plu­sieurs États mem­bres, l’auto­rité de contrôle qui est com­pé­tente en vertu de l’arti­cle 55 soumet le projet de code, la modi­fi­ca­tion ou la pro­ro­ga­tion, avant appro­ba­tion, selon la pro­cé­dure visée à l’arti­cle 63, au comité, qui rend un avis sur la ques­tion de savoir si le projet de code, la modi­fi­ca­tion ou la pro­ro­ga­tion res­pecte le pré­sent règle­ment ou, dans la situa­tion visée au para­gra­phe 3 du pré­sent arti­cle, s’il offre des garan­ties appro­priées.
8. Lorsque l’avis visé au para­gra­phe 7 confirme que le projet de code, la modi­fi­ca­tion ou la pro­ro­ga­tion res­pecte le pré­sent règle­ment ou, dans la situa­tion visée au para­gra­phe 3, offre des garan­ties appro­priées, le comité soumet son avis à la Commission.
9. La Commission peut déci­der, par voie d’actes d’exé­cu­tion, que le code de conduite, la modi­fi­ca­tion ou la pro­ro­ga­tion approu­vés qui lui ont été soumis en vertu du para­gra­phe 8 du pré­sent arti­cle sont d’appli­ca­tion géné­rale au sein de l’Union. Ces actes d’exé­cu­tion sont adop­tés en confor­mité avec la pro­cé­dure d’examen visée à l’arti­cle 93, para­gra­phe 2.
10. La Commission veille à garan­tir une publi­cité appro­priée aux codes approu­vés dont elle a décidé qu’ils sont d’appli­ca­tion géné­rale confor­mé­ment au para­gra­phe 9.
11. Le comité consi­gne dans un regis­tre tous les codes de conduite, les modi­fi­ca­tions et les pro­ro­ga­tions approu­vés et les met à la dis­po­si­tion du public par tout moyen appro­prié.

Article 41
Suivi des codes de conduite accep­tés
1. Sans pré­ju­dice des mis­sions et des pou­voirs de l’auto­rité de contrôle com­pé­tente au titre des arti­cles 57738. et 58739, le contrôle du res­pect du code de conduite en vertu de l’arti­cle 40740 peut être effec­tué par un orga­nisme qui dis­pose d’un niveau d’exper­tise appro­prié au regard de l’objet du code et qui est agréé à cette fin par l’auto­rité de contrôle com­pé­tente.
2. Un orga­nisme vise au para­gra­phe 1 peut être agréé pour contrô­ler le res­pect d’un code de conduite lors­que cet orga­nisme a :
a) démon­tre, à la satis­fac­tion de l’auto­rité de contrôle com­pé­tente, son indé­pen­dance et son exper­tise au regard de l’objet du code ;
b) établi des pro­cé­du­res qui lui per­met­tent d’appré­cier si les res­pon­sa­bles du trai­te­ment et les sous-trai­tants concer­nes satis­font aux condi­tions pour appli­quer le code, de contrô­ler le res­pect de ses dis­po­si­tions et d’exa­mi­ner pério­di­que­ment son fonc­tion­ne­ment ;
c) établi des pro­cé­du­res et des struc­tu­res pour trai­ter les récla­ma­tions rela­ti­ves aux vio­la­tions du code ou à la manière dont le code a été ou est appli­que par un res­pon­sa­ble du trai­te­ment ou un sous-trai­tant, et pour rendre ces pro­cé­du­res et struc­tu­res trans­pa­ren­tes à l’égard des per­son­nes concer­nées et du public ; et
d) démon­tre, à la satis­fac­tion de l’auto­rité de contrôle com­pé­tente, que ses tâches et ses mis­sions n’entrai­nent pas de conflit d’inté­rêts.

CONSIDERANTS ASSOCIÉS (Art. 40 et 41)
(77) Des direc­ti­ves rela­ti­ves a la mise en oeuvre de mesu­res appro­priées et a la démons­tra­tion par le res­pon­sa­ble du trai­te­ment ou le sous-trai­tant du res­pect du pré­sent règle­ment, notam­ment en ce qui concerne l’iden­ti­fi­ca­tion du risque lie au trai­te­ment, leur évaluation en termes d’ori­gine, de nature, de pro­ba­bi­lité et de gra­vité, et l’iden­ti­fi­ca­tion des meilleu­res pra­ti­ques visant a atté­nuer le risque, pour­raient être four­nies notam­ment au moyen de codes de conduite approu­ves, de cer­ti­fi­ca­tions approu­vées et de lignes direc­tri­ces don­nées par le comité ou d’indi­ca­tions don­nées par un délé­gué à la pro­tec­tion des don­nées. Le comité peut également publier des lignes direc­tri­ces rela­ti­ves aux opé­ra­tions de trai­te­ment consi­dé­rées comme étant peu sus­cep­ti­bles d’engen­drer un risque élevé pour les droits et liber­tés des per­son­nes phy­si­ques et indi­quer les mesu­res qui peu­vent suf­fire dans de tels cas pour faire face a un tel risque.
(98) II ya lieu d’encou­ra­ger les asso­cia­tions ou autres orga­nis­mes repré­sen­tant des caté­go­ries de res­pon­sa­bles du trai­te­ment ou de sous-trai­tants a élaborer des codes de conduite, dans les limi­tes du pré­sent règle­ment, de manière a en faci­li­ter la bonne appli­ca­tion, compte tenu des spé­ci­fi­ci­tés des trai­te­ments effec­tues dans cer­tains sec­teurs et des besoins spé­ci­fi­ques des micro, peti­tes et moyen­nes entre­pri­ses. Ces codes de conduite pour­raient, en par­ti­cu­lier, défi­nir les obli­ga­tions qui incom­bent aux res­pon­sa­bles du trai­te­ment et aux sous-trai­tants, compte tenu du risque que le trai­te­ment peut engen­drer pour les droits et liber­tés des per­son­nes phy­si­ques.
(99) Lors de l’élaboration d’un code de conduite, ou lors de sa modi­fi­ca­tion ou pro­ro­ga­tion, les asso­cia­tions et autres orga­nis­mes repré­sen­tant des caté­go­ries de res­pon­sa­bles du trai­te­ment ou de sous-trai­tants devraient consul­ter les par­ties inté­res­sées, y com­pris les per­son­nes concer­nées lors­que cela est pos­si­ble, et tenir compte des contri­bu­tions trans­mi­ses et des opi­nions expri­mées a la suite de ces consul­ta­tions.
(158) Lorsque les don­nées a carac­tère per­son­nel sont trai­tées a des fins archi­vis­ti­ques, le pré­sent règle­ment devrait également s’appli­quer a ce trai­te­ment, étant entendu qu’il ne devrait pas s’appli­quer aux des per­son­nes décé­dées. Les auto­ri­tés publi­ques ou les orga­nis­mes publics ou prives qui conser­vent des archi­ves dans l’inté­rêt public devraient être des ser­vi­ces qui, en vertu du droit de l’Union ou du droit d’un Etat membre, ont l’obli­ga­tion légale de col­lec­ter, de conser­ver, d’évaluer, d’orga­ni­ser, de décrire, de com­mu­ni­quer, de mettre en valeur, de dif­fu­ser des archi­ves qui sont à conser­ver a titre défi­ni­tif dans l’inté­rêt public géné­ral et d’y donner acres. Les Etats mem­bres devraient également être auto­ri­ses a pré­voir un trai­te­ment ulté­rieur des don­nées a carac­tère per­son­nel a des fins archi­vis­ti­ques, par exem­ple en vue de four­nir des infor­ma­tions pré­ci­ses rela­ti­ves au com­por­te­ment poli­ti­que sous les régi­mes des anciens Etats tota­li­tai­res, aux géno­ci­des, aux crimes contre l’huma­nité, notam­ment l’Holocauste, ou aux crimes de guerre.
(167) Afin d’assu­rer des condi­tions uni­for­mes d’exé­cu­tion du pré­sent règle­ment, il convient de confé­rer des com­pé­ten­ces d’exé­cu­tion à la Commission lors­que le pré­sent règle­ment le pré­voit, Ces com­pé­ten­ces devraient être exer­cées en confor­mité avec le règle­ment (UE) n° 182/2011. Dans ce cadre, la Commission devrait envi­sa­ger des mesu­res spé­ci­fi­ques pour les micro, peti­tes et moyen­nes entre­pri­ses.


Article 86
Traitement et accès du public aux docu­ments offi­ciels
Les don­nées à carac­tère per­son­nel figu­rant dans des docu­ments offi­ciels déte­nus par une auto­rité publi­que ou par un orga­nisme public ou un orga­nisme privé pour l’exé­cu­tion d’une mis­sion d’inté­rêt public peu­vent être com­mu­ni­quées par ladite auto­rité ou ledit orga­nisme confor­mé­ment au droit de l’Union ou au droit de l’État membre auquel est soumis l’auto­rité publi­que ou l’orga­nisme public, afin de conci­lier le droit d’accès du public aux docu­ments offi­ciels et le droit à la pro­tec­tion des don­nées à carac­tère per­son­nel au titre du pré­sent règle­ment.

CONSIDERANTS ASSOCIÉS (Art. 86)
(156) Le trai­te­ment des don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques devrait être soumis à des garan­ties appro­priées pour les droits et liber­tés de la per­sonne concer­née, en vertu du pré­sent règle­ment. Ces garan­ties devraient per­met­tre la mise en place de mesu­res tech­ni­ques et orga­ni­sa­tion­nel­les pour assu­rer, en par­ti­cu­lier, le res­pect du prin­cipe de mini­mi­sa­tion des don­nées. Le trai­te­ment ulté­rieur de don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques doit être effec­tué lors­que que le res­pon­sa­ble du trai­te­ment a évalué s’il est pos­si­ble d’attein­dre ces fina­li­tés grâce à un trai­te­ment de don­nées qui ne per­met­tent pas ou plus d’iden­ti­fier les per­son­nes concer­nées, pour autant que des garan­ties appro­priées exis­tent (comme par exem­ple la pseu­do­ny­mi­sa­tion des don­nées). Les États mem­bres devraient pré­voir des garan­ties appro­priées pour le trai­te­ment de don­nées à carac­tère per­son­nel à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques. Les États mem­bres devraient être auto­ri­sés à pré­voir, dans des condi­tions spé­ci­fi­ques et moyen­nant des garan­ties appro­priées pour les per­son­nes concer­nées, des dis­po­si­tions par­ti­cu­liè­res et des déro­ga­tions concer­nant les exi­gen­ces en matière d’infor­ma­tion et les droits à la rec­ti­fi­ca­tion, à l’effa­ce­ment, à l’oubli, à la limi­ta­tion du trai­te­ment, à la por­ta­bi­lité des don­nées et le droit d’oppo­si­tion lors­que les don­nées à carac­tère per­son­nel sont trai­tées à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques. Les condi­tions et garan­ties en ques­tion peu­vent com­por­ter des pro­cé­du­res spé­ci­fi­ques per­met­tant aux per­son­nes concer­nées d’exer­cer ces droits si cela est appro­prié eu égard aux fina­li­tés du trai­te­ment spé­ci­fi­que concerné, ainsi que des mesu­res tech­ni­ques et orga­ni­sa­tion­nel­les visant à réduire à un mini­mum le trai­te­ment des don­nées à carac­tère per­son­nel confor­mé­ment aux prin­ci­pes de pro­por­tion­na­lité et de néces­sité. Le trai­te­ment de don­nées à carac­tère per­son­nel à des fins scien­ti­fi­ques devrait également res­pec­ter d’autres dis­po­si­tions légis­la­ti­ves per­ti­nen­tes, telles que celles rela­ti­ves aux essais cli­ni­ques.

Article 89
Garanties et déro­ga­tions appli­ca­bles au trai­te­ment à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques
Avec réfé­rence aux arti­cles :
15 : Droit d’accès de la per­sonne concer­née
16 : Droit de rec­ti­fi­ca­tion
18 : Droit à la limi­ta­tion de trai­te­ment
19 : Obligation de noti­fi­ca­tion en ce qui concerne la rec­ti­fi­ca­tion ou l’effa­ce­ment de don­nées à carac­tère per­son­nel ou la limi­ta­tion du trai­te­ment
20 : Droit à la por­ta­bi­lité des don­nées
21 : Droit d’oppo­si­tion

1. Le trai­te­ment à des fins archi­vis­ti­ques dans l’inté­rêt public, à des fins de recher­che scien­ti­fi­que ou his­to­ri­que, ou à des fins sta­tis­ti­ques est soumis, confor­mé­ment au pré­sent règle­ment, à des garan­ties appro­priées pour les droits et liber­tés de la per­sonne concer­née. Ces garan­ties garan­tis­sent la mise en place de mesu­res tech­ni­ques et orga­ni­sa­tion­nel­les, en par­ti­cu­lier pour assu­rer le res­pect du prin­cipe de mini­mi­sa­tion des don­nées. Ces mesu­res peu­vent com­pren­dre la pseu­do­ny­mi­sa­tion, dans la mesure où ces fina­li­tés peu­vent être attein­tes de cette manière. Chaque fois que ces fina­li­tés peu­vent être attein­tes par un trai­te­ment ulté­rieur ne per­met­tant pas ou plus l’iden­ti­fi­ca­tion des per­son­nes concer­nées, il convient de pro­cé­der de cette manière.
2. Lorsque des don­nées à carac­tère per­son­nel sont trai­tées à des fins de recher­che scien­ti­fi­que ou his­to­ri­que ou à des fins sta­tis­ti­ques, le droit de l’Union ou le droit d’un État membre peut pré­voir des déro­ga­tions aux droits visés aux arti­cles 15, 16, 18 et 21, sous réserve des condi­tions et des garan­ties visées au para­gra­phe 1 du pré­sent arti­cle, dans la mesure où ces droits ris­que­raient de rendre impos­si­ble ou d’entra­ver sérieu­se­ment la réa­li­sa­tion des fina­li­tés spé­ci­fi­ques et où de telles déro­ga­tions sont néces­sai­res pour attein­dre ces fina­li­tés.
3. Lorsque des don­nées à carac­tère per­son­nel sont trai­tées à des fins archi­vis­ti­ques dans l’inté­rêt public, le droit de l’Union ou le droit d’un État membre peut pré­voir des déro­ga­tions aux droits visés aux arti­cles 15, 16, 18, 19, 20 et 21, sous réserve des condi­tions et des garan­ties visées au para­gra­phe 1 du pré­sent arti­cle, dans la mesure où ces droits ris­que­raient de rendre impos­si­ble ou d’entra­ver sérieu­se­ment la réa­li­sa­tion des fina­li­tés spé­ci­fi­ques et où de telles déro­ga­tions sont néces­sai­res pour attein­dre ces fina­li­tés.
4. Lorsqu’un trai­te­ment visé aux para­gra­phes 2 et 3 sert dans le même temps une autre fina­lité, les déro­ga­tions sont appli­ca­bles au seul trai­te­ment effec­tué aux fins visées aux­dits para­gra­phes.

CONSIDERANTS ASSOCIÉS (Art. 89)
(56) lors­que, dans le cadre d’acti­vi­tés liées a des élections, le fonc­tion­ne­ment du sys­tème démo­cra­ti­que dans un Etat membre requiert que les partis poli­ti­ques col­lec­tent des don­nées a carac­tère per­son­nel rela­ti­ves aux opi­nions poli­ti­ques des per­son­nes, le trai­te­ment de telles don­nées peut être auto­rise pour des motifs d’inté­rêt public, a condi­tion que des garan­ties appro­priées soient pré­vues,
(158) lors­que les don­nées a carac­tère per­son­nel sont trai­tées a des fins archi­vis­ti­ques, le pré­sent règle­ment devrait également s’appli­quer a ce trai­te­ment, étant entendu qu’il ne devrait pas s’appli­quer aux des per­son­nes décé­dées, les auto­ri­tés publi­ques ou les orga­nis­mes publics ou prives qui conser­vent des archi­ves dans l’inté­rêt public devraient être des ser­vi­ces qui, en vertu du droit de l’Union ou du droit d’un Etat membre, ont l’obli­ga­tion légale de col­lec­ter, de conser­ver, d’évaluer, d’orga­ni­ser, de décrire, de com­mu­ni­quer, de mettre en valeur, de dif­fu­ser des archi­ves qui sont a conser­ver a titre défi­ni­tif dans l’inté­rêt public géné­ral et d’y donner accès, les Etats mem­bres devraient également être auto­ri­ses a pré­voir un trai­te­ment ulté­rieur des don­nées a carac­tère per­son­nel a des fins archi­vis­ti­ques, par exem­ple en vue de four­nir des infor­ma­tions pré­ci­ses rela­ti­ves au com­por­te­ment poli­ti­que sous les régi­mes des anciens Etats tota­li­tai­res, aux géno­ci­des, aux crimes contre l’huma­nité, notam­ment l’Holocauste, ou aux crimes de guerre.
(159) lors­que des don­nées à carac­tère per­son­nel sont trai­tées à des fins de recher­che scien­ti­fi­que, le pré­sent règle­ment devrait également s’appli­quer à ce trai­te­ment. Aux fins du pré­sent règle­ment, Le trai­te­ment de don­nées à carac­tère per­son­nel à des fins de recher­che scien­ti­fi­que devrait être inter­prété au sens large et cou­vrir, par exem­ple, le déve­lop­pe­ment et la démons­tra­tion de tech­no­lo­gies, la recher­che fon­da­men­tale, la recher­che appli­quée et la recher­che finan­cée par Le sec­teur prive. II devrait, en outre, tenir compte de l’objec­tif de l’Union men­tionne à l’arti­cle 179, para­gra­phe 1, du traité sur le fonc­tion­ne­ment de l’Union euro­péenne, consis­tant à réa­li­ser un espace euro­péen de la recher­che. Par « fins de recher­che scien­ti­fi­que », il convient également d’enten­dre les études menées dans l’inté­rêt public dans Le domaine de la sante publi­que. Pour répon­dre aux spé­ci­fi­ci­tés du trai­te­ment de don­nées à carac­tère per­son­nel à des fins de recher­che scien­ti­fi­que, des condi­tions par­ti­cu­liè­res devraient s’appli­quer, en par­ti­cu­lier, en ce qui concerne la publi­ca­tion ou la divul­ga­tion d’une autre manière de don­nées à carac­tère per­son­nel dans Le cadre de fina­li­tés de la recher­che scien­ti­fi­que. Si le résul­tat de la recher­che scien­ti­fi­que, en par­ti­cu­lier dans le domaine de la sante, jus­ti­fie de nou­vel­les mesu­res dans l’inté­rêt de la per­sonne concer­née, les règles géné­ra­les du pré­sent règle­ment s’appli­quent à l’égard de ces mesu­res.
(160) lors­que des don­nées à carac­tère per­son­nel sont trai­tées à des fins de recher­che his­to­ri­que, le pré­sent règle­ment devrait également s’appli­quer à ce trai­te­ment. Cela devrait aussi com­pren­dre les recher­ches his­to­ri­ques et les recher­ches à des fins généa­lo­gi­ques, étant entendu que le pré­sent règle­ment ne devrait pas s’appli­quer aux per­son­nes décé­dées,
(161) Aux fins du consen­te­ment a la par­ti­ci­pa­tion a des acti­vi­tés de recher­che scien­ti­fi­que dans le cadre d’essais cli­ni­ques, les dis­po­si­tions per­ti­nen­tes du règle­ment (UE) n° 536/2014 du Parlement euro­péen et du Conseil 1259 devraient s’appli­quer.
(162) lors­que des don­nées à carac­tère per­son­nel sont trai­tées à des fins sta­tis­ti­ques, Le pré­sent règle­ment devrait s’appli­quer a ce trai­te­ment. le droit de l’Union ou Le droit des Etats mem­bres devrait, dans les limi­tes du pré­sent règle­ment, déter­mi­ner Le contenu sta­tis­ti­que, défi­nir le contrôle de l’accès aux don­nées et arrê­ter des dis­po­si­tions par­ti­cu­liè­res pour Le trai­te­ment de don­nées a carac­tère per­son­nel à des fins sta­tis­ti­ques ainsi que des mesu­res appro­priées pour la sau­ve­garde des droits et liber­tés de la per­sonne concer­née et pour pré­ser­ver le secret sta­tis­ti­que. Par « fins sta­tis­ti­ques », on entend toute opé­ra­tion de col­lecte et de trai­te­ment de don­nées à carac­tère per­son­nel néces­sai­res pour des enquê­tes sta­tis­ti­ques ou la pro­duc­tion de résul­tats sta­tis­ti­ques. Ces résul­tats sta­tis­ti­ques peu­vent en outre être uti­li­ses à dif­fé­ren­tes fins, notam­ment des fins de recher­che scien­ti­fi­que, les fins sta­tis­ti­ques impli­quent que le résul­tat du trai­te­ment a des fins sta­tis­ti­ques ne cons­ti­tue pas des don­nées a carac­tère per­son­nel mais des don­nées agré­gées, et que ce résul­tat ou ces don­nées a carac­tère per­son­nel ne sont pas uti­li­ses à l’appui de mesu­res ou de déci­sions concer­nant une per­sonne phy­si­que en par­ti­cu­lier.
(163) Les infor­ma­tions confi­den­tiel­les que les auto­ri­tés sta­tis­ti­ques de l’Union et des Etats mem­bres recueillent pour élaborer des sta­tis­ti­ques offi­ciel­les euro­péen­nes et natio­na­les devraient être pro­té­gées. Les sta­tis­ti­ques euro­péen­nes devraient être mises au point, élaborées et dif­fu­sées confor­mé­ment aux prin­ci­pes sta­tis­ti­ques énonces a l’arti­cle 338, para­gra­phe 2, du Traité sur le fonc­tion­ne­ment de l’Union euro­péenne, et les sta­tis­ti­ques natio­na­les devraient également res­pec­ter le droit des Etats mem­bres. Le règle­ment (CE) n° 223/2009 du Parlement euro­péen et du Conseil1260 contient d’autres dis­po­si­tions par­ti­cu­liè­res rela­ti­ves aux sta­tis­ti­ques euro­péen­nes cou­ver­tes par le secret.

Illustration Carole Perret

Retour en haut de la page