|
Loi du 6 janvier 1978 "Informatique, Fichiers et Libertés", Convention 108,
Directive 95/46/CE
Textes Législatifs
Attention ! : Les textes ne reprennent ici que les articles
cités dans le mémoire
 
Loi n° 78-17 du 6 janvier 1978 relative à l`informatique, aux
fichiers et aux libertés
Article 1
L`informatique doit être au service de chaque citoyen. Son développement doit s`opérer
dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à
l`identité humaine, ni aux droits de l`homme, ni à la vie privée, ni aux libertés
individuelles ou publiques.
Article 4
Sont réputées nominatives au sens de la présente loi les informations qui permettent,
sous quelque forme que ce soit, directement ou non, l`identification des personnes
physiques auxquelles elles s`appliquent, que le traitement soit effectué par une personne
physique ou par une personne morale.
Article 15
Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés
d`informations nominatives opérés pour le compte de l`Etat, d`un établissement public
ou d`une collectivité territoriale, ou d`une personne morale de droit privé gérant un
service public, sont décidés par un acte réglementaire pris après avis motivé de la
Commission Nationale de l`Informatique et des Libertés;
Si l`avis de la Commission est défavorable, il ne peut être passé outre que par un
décret pris sur avis conforme du Conseil d`Etat ou, s`agissant d`une collectivité
territoriale, en vertu d`une décision de son organe délibérant approuvée par décret
pris sur avis conforme du Conseil d`Etat.
Si, au terme d`un délai de deux mois renouvelable une seule fois sur décision du
président, l`avis de la commission n`est pas notifié, il est réputé favorable.
Article 25
La collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est
interdite.
Article 27
Les personnes auprès desquelles sont recueillies des informations nominatives doivent
être informées:
- du caractère obligatoire ou facultatif des réponses;
- des conséquences à leur égard d`un défaut de réponse;
- des personnes physiques ou morales destinataires des informations.
- de l`existence d`un droit d`accès et de rectification.
Lorsque de telles informations sont recueillies par voie de questionnaires, ceux-ci
doivent porter mention de ces prescriptions. Ces dispositions ne s`appliquent pas à la
collecte des informations nécessaires à la constatation des infractions.
Article 29
Toute personne ordonnant ou effectuant un traitement d`informations nominatives s`engage
de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions
utiles afin de préserver la sécurité des informations et notamment d`empêcher qu`elles
ne soient déformées, endommagées ou communiquées à des tiers non-autorisés.
Convention 108 du 28 janvier 1981 du Conseil de l`Europe sur la
protection des personnes à l`égard du traitement automatisé des données à caractère
personnel.
Article 2 Définitions
Aux fins de la présente Convention :
a) Données à caractère personnel signifie: toute information concernant la personne
physique identifiée ou identifiable (personne concernée);
b) Fichier automatisé signifie: tout ensemble d`informations faisant l`objet d`un
traitement automatisé;
c) Traitement automatisé s`entend des opérations suivantes effectuées en totalité ou
partie a l`aide de procédés automatisés: enregistrement des données, application à
ces données d`opérations logiques et/ou arithmétiques, leur modification, effacement,
extraction ou diffusion ;
d) Maître du fichier signifie: la personne physique ou morale, l autorité publique, le
service ou tout autre organisme qui est compétent selon la loi nationale, pour décider
quelle sera la finalité du fichier automatisé, quelles catégories de données à
caractère personnel doivent être enregistrées et quelles opérations leur seront
appliquées.
Article 8 Garanties complémentaires pour la personne concernée
Toute personne doit pouvoir :
a) Connaître l`existence d`un fichier automatisé de données à caractère personnel,
ses finalités principales, ainsi que l`identité et la résidence habituelle ou le
principal établissement du maître du fichier.
b) Obtenir à des intervalles raisonnables et sans délais ou frais excessifs la
confirmation de l`existence ou non dans le fichier automatisé de données à caractère
personnel la concernant ainsi que la communication de ces données sous une forme
intelligible.
c) obtenir, le cas échéant, la rectification de ces données ou leur effacement
lorsqu`elles ont été traitées en violation des dispositions du droit interne donnant
effet aux principes de base énoncés dans les articles 5 et 6 de la présente convention.
d) disposer d`un recours s`il n`est pas donné suite à une demande de confirmation ou, le
cas échéant, de communication ou, de rectification ou effacement, visés aux paragraphes
b et c du présent article.
Directive 95/46/CE du 24 octobre 1995 relative à la protection des
personnes physiques à l`égard du traitement des données à caractère personnel et à
la libre circulation de ces données
Article 1er Objet de la directive
1 Les États membres assurent, conformément à la présente directive, la protection des
libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée,
à l`égard du traitement des données à caractère personnel
2 Les États membres ne peuvent restreindre ni interdire la libre circulation des données
à caractère personnel entre États membres pour des raisons relatives à la protection
assurée en vertu du paragraphe 1
Article 2 Définitions
Aux fins de la présente directive, on entend par :
a) données à caractère personnel: toute information concernant une personne physique
identifiée ou identifiable (personne concernée); est réputée identifiable une personne
qui peut être identifiée, directement ou indirectement, notamment par référence à un
numéro d`identification ou à un ou plusieurs éléments spécifiques propres à son
identité physique, physiologique, psychique, économique culturelle ou sociale)
b) traitement de données à caractère personnel (traitement): toute opération ou
ensemble d`opérations effectuées ou non à l`aide de procédés automatisés et
appliquées à des données à caractère personnel, telles que la collecte,
l`enregistrement, l`organisation, la conservation, l`adaptation ou la modification,
l`extraction, la consultation, l`utilisation, la communication par transmission, diffusion
ou toute autre forme de mise à disposition, le rapprochement ou l`interconnexion, ainsi
que le verrouillage, l`effacement ou la destruction;
c) fichier de données à caractère personnel (fichier): tout ensemble structuré de
données à caractère personnel accessibles selon des critères déterminés, que cet
ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou
géographique;
d) responsable du traitement: la personne physique ou morale, l`autorité publique, le
service ou tout autre organisme qui, seul ou conjointement avec d`autres, détermine les
finalités et les moyens du traitement de données à caractère personnel; lorsque les
finalités et les moyens du traitement sont déterminés par des dispositions
législatives ou réglementaires nationales ou communautaires, le responsable du
traitement ou les critères spécifiques pour le désigner peuvent être fixés par le
droit national ou communautaire;
e) sous-traitement: la personne physique ou morale, l`autorité publique, le service ou
tout autre organisme qui traite des données à caractère personnel pour le compte du
responsable du traitement:
f)tiers la personne physique ou morale, l`autorité publique, le service ou tout autre
organisme autre que la personne concernée, le responsable du traitement, le sous-traitant
et les personnes qui, placées sous l`autorité directe du responsable du traitement ou du
sous-traitant, sont habilitées à traiter les données;
g) destinataire: la personne physique ou morale, l`autorité publique, le service ou tout
autre organisme qui reçoit communication de données, qu`il s`agisse ou non d`un tiers;
les autorités qui sont susceptibles de recevoir communication de données dans le cadre
d`une mission d`enquête particulière ne sont toutefois pas considérées comme des
destinataires;
h) consentement de la personne concernée: toute manifestation de volonté, libre,
spécifique et informée par laquelle la personne concernée accepte que des données à
caractère personnel la concernant fassent l`objet d`un traitement.
Article 11 Informations lorsque les données n'ont pas été
collectées auprès de la personne concernée
1. Lorsque les données n`ont pas été collectées auprès de la personne concernée, les
États membres prévoient que le responsable du traitement ou son représentant doit, dès
l`enregistrement des données ou, si une communication de données à un tiers est
envisagée, au plus tard lors de la première communication de données fournir à la
personne concernée au moins les informations énumérées ci-dessous, sauf si la personne
en est déjà informée:
a) L`identité du responsable du traitement et, le cas échéant, de son représentant:
b) les finalisés du traitement;
c) toute information supplémentaire telle que:
les catégories de données concernées,
les destinataires ou les catégories de destinataires des données,
L`existence d`un droit d`accès aux données la concernant et de rectification de ces
données,
dans la mesure où, compte tenu des circonstances particulières dans lesquelles les
données sont collectées, ces informations supplémentaires sont nécessaires pour
assurer à l`égard de la personne concernée un traitement loyal des données.
2. Le paragraphe 1 ne s`applique pas lorsque, en particulier pour un traitement à
finalité statistique ou de recherche historique ou scientifique, l`information de la
personne concernée se révèle impossible ou implique des efforts disproportionnés ou si
la législation prévoit expressément l`enregistrement ou la communication des données.
Dans ces cas, les États membres prévoient des garanties appropriées.
Article 17 Sécurité des traitements
1. Les États membres prévoient que le responsable du traitement doit mettre en
œuvre les mesures techniques et d`organisation appropriées pour protéger les
données à caractère personnel contre la destruction accidentelle ou illicite, la perte
accidentelle, l`altération, la diffusion ou l`accès non autorisés, notamment lorsque le
traitement comporte des transmissions de données dans un réseau, ainsi que contre toute
autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l`état de l`art et des coûts liés à leur
mise en œuvre, un niveau de sécurité approprié au regard des risques présentés
par le traitement et de la nature des données à protéger.
2. Les États membres. prévoient que le responsable du traitement, lorsque le traitement
est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties
suffisantes au regard des mesures de sécurité technique et d`organisation relatives aux
traitements à effectuer et qu`il doit veiller au respect de ces mesures.
3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un
acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit
notamment que:
le sous-traitant n`agit que sur la seule instruction du responsable du traitement, les
obligations visées au paragraphe 1, telles que définies par la législation de l`État
membre dans lequel le sous-traitant est établi, incombent également à celui ci.
4. Aux fins de la conservation des preuves, les éléments du contrat ou de l`acte
juridique relatifs à la protection des données et les exigences portant sur les mesures
visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.
Article 24 Sanctions
Les États membres prennent les mesures appropriées pour assurer la pleine application
des dispositions de la présente directive et déterminent notamment les sanctions à
appliquer en cas de violation des dispositions prises en application de la présente
directive.
Article 25 Principes
1. Les États membres prévoient que le transfert vers un pays tiers de données à
caractère personnel faisant l`objet d`un traitement, ou destinées à faire l`objet d`un
traitement après leur transfert, ne peut avoir lieu que si. sous réserve du respect des
dispositions nationales prises en application des autres dispositions de la présente
directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s`apprécie au
regard de toutes les circonstances relatives à un transfert ou à une catégorie de
transferts de données; en particulier, sont prises en considération la nature des
données, la finalité et la durée du ou des traitements envisagés, les pays d`origine
et de destination finale, les règles de droit, générales ou sectorielles, en vigueur
dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de
sécurité qui y sont respectées.
3. Les États membres et la Commission s`informent mutuellement des cas dans lesquels ils
estiment qu`un pays tiers n`assure pas un niveau de protection adéquat au sens du
paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure prévue à l`article 31
paragraphe 2, qu`un pays tiers n`assure pas un niveau de protection adéquat au sens du
paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en
vue d`empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la
situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l`article 31
paragraphe 2, qu`un pays tiers assure un niveau de protection adéquat au sens du
paragraphe 2 du présent article, en raison de sa législation interne ou de ses
engagements internationaux, souscrits notamment à l`issue des négociations visées au
paragraphe 5, en vue de la protection de la vie privée et des libertés et droits
fondamentaux des personnes. Les États membres prennent les mesures nécessaires pour se
conformer à la décision de la Commission.
Article 26 Dérogations
1. Par dérogation à l`article 25 et sous réserve de dispositions contraires de leur
droit national régissant des cas particuliers, les États membres prévoient qu`un
transfert de données à caractère personnel vers un pays tiers n`assurant pas un niveau
de protection adéquat au sens de l`article 25 paragraphe 2 peut être effectué, à
condition que:
a) la personne concernée ait indubitablement donné son consentement au transfert
envisagé
ou
b) le transfert soit nécessaire à l`exécution d`un contrat entre la personne concernée
et le responsable du traitement ou à l`exécution de mesures précontractuelles prises à
la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à l`exécution d`un contrat conclu
ou à conclure, dans l`intérêt de la personne concernée, entre le responsable du
traitement et un tiers
d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde
d`un intérêt public important, ou pour la constatation, l`exercice ou la défense d`un
droit en justice
e) le transfert soit nécessaire à la sauvegarde de l`intérêt vital de la personne
concernée
f) le transfert intervienne au départ d`un registre public qui, en vertu de dispositions
législatives ou réglementaires, est destiné à l`information du public et est ouvert à
la consultation du public ou de toute personne justifiant d`un intérêt légitime, dans
la mesure où les conditions légales pour la consultation sont remplies dans le cas
particulier.
2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un
ensemble de transferts, de données à caractère personnel vers un pays tiers n`assurant
pas un niveau de protection adéquat au sens de l`article 25 paragraphe 2, lorsque le
responsable du traitement offre des garanties suffisantes au regard de la protection de la
vie privée et des libertés et droits fondamentaux des personnes, ainsi qu`à l`égard de
l`exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses
contractuelles appropriées.
3. L`État membre informe la Commission et les autres États membres des autorisations
qu`il accorde en application du paragraphe 2. En cas d`opposition exprimée par un autre
État membre ou par la Commission et dûment justifiée au regard de la protection de la
vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête
les mesures appropriées, conformément à la procédure prévue à l`article 31
paragraphe 2.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de
la Commission.
4. Lorsque la Commission décide, conformément à la procédure prévue à l`article 31
paragraphe 2, que certaines clauses contractuelles types présentent les garanties
suffisantes visées au paragraphe 2, Ies États membres prennent les mesures nécessaires
pour se conformer à la décision de la Commission.
Article 27
1. Les États membres et la Commission encouragent l`élaboration de codes de conduite
destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne
application des dispositions nationales prises par les États membres en application de la
présente directive.
2. Les États membres prévoient que les associations professionnelles et les autres
organisations représentant d`autres catégories de responsables du traitement qui ont
élaboré des projets de codes nationaux ou qui ont l`intention de modifier ou de proroger
des codes nationaux existants peuvent les soumettre à l`examen de l`autorité nationale.
Les États membres prévoient que cette autorité s`assure, entre autres, de la
conformité des projets qui lui sont soumis avec les dispositions nationales prises en
application de la présente directive. Si elle l`estime opportun, l`autorité recueille
les observations des personnes concernées ou de leurs représentants.
3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de
codes communautaires existants, peuvent être soumis au groupe visé à l`article 29.
Celui ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis
avec les dispositions nationales prises en application de la présente directive. S`il
l`estime opportun, il recueille les observations des personnes concernées ou de leurs
représentants. La Commission peut assurer une publicité appropriée aux codes qui ont
été approuvés par le groupe.
|
