Art. 14
1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
b) le cas échéant, les coordonnées du délégué à la protection des données;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
d) les catégories de données à caractère personnel concernées;
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;
f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:
a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
e) le droit d'introduire une réclamation auprès d'une autorité de contrôle;
f) la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;
g) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:
a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;
b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou
c) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
5. Les paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où:
a) la personne concernée dispose déjà de ces informations;
b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article 89, paragraphe 1, ou dans la mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;
c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
d) les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.
|
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne au moins les informations suivantes:
a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;
b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l’article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f);
c) la durée pendant laquelle les données à caractère personnel seront conservées;
d) l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données;
e) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;
f) les destinataires ou les catégories de destinataires des données à caractère personnel;
g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers ou l'organisation internationale en question, par référence à une décision relative au caractère adéquat du niveau de protection rendue par la Commission;
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel.
4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3: a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois.
5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:
a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3;
ou
b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés;
ou c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation;
ou d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21.
6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les intérêts légitimes de la personne concernée.
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. 8. La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
|
1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement peut lui fournir les informations qui suivent:
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable; le responsable du traitement inclut en outre les coordonnées de l'éventuel délégué à la protection des données;
b) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que le fondement juridique du traitement.
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les autres informations qui sont nécessaires pour garantir qu'elle fait l'objet d'un traitement équitable et transparent, compte tenu des circonstances spécifiques et du contexte du traitement des données à caractère personnel, à savoir:
a) les catégories de données à caractère personnel concernées;
b) (...)
c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
d) les destinataires ou les catégories de destinataires des données à caractère personnel;
d bis) le cas échéant, la volonté du responsable du traitement d'effectuer un transfert de données à caractère personnel vers un destinataire d'un pays tiers ou d'une organisation internationale;
e) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci ou une limitation de leur traitement, ainsi que du droit de s'opposer au traitement de ces données et du droit à la portabilité des données (...); e bis) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement avant le retrait de celui-ci;
f) le droit d'introduire une réclamation auprès d'une autorité de contrôle (…);
g) la source d'où proviennent les données à caractère personnel, à moins qu'elles soient issues de sources accessibles au public;
h) l'existence d'une prise de décision automatisée comprenant un profilage visé à l'article 20, paragraphes 1 et 3, et des informations concernant (…) la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:
a) dans un délai raisonnable mais ne dépassant pas un mois après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont traitées,
ou
b) s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les informations sont communiquées pour la première fois. 3 bis. Lorsqu'il a l'intention de traiter les données à des fins autres que la finalité initiale pour laquelle les données ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1 à 3 bis ne s'appliquent pas lorsque et dans la mesure où:
a) la personne concernée dispose déjà de ces informations; ou
b) la fourniture de telles informations (...) s'avère impossible ou nécessiterait des efforts disproportionnés; en pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et les libertés ainsi que les intérêts légitimes de la personne concernée;
ou c) l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou la législation de l'État membre à laquelle le responsable du traitement est soumis et qui établit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée;
ou d) (...);
e) les données doivent rester confidentielles conformément à la législation de l'Union ou d'un l'État membre (...).
5. (...)
6. (...)
|
Art. 11
1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:
a) l'identité du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement;
c) toute information supplémentaire telle que:
- les catégories de données concernées,
- les destinataires ou les catégories de destinataires des données,
- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.
2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.
|
Aucune disposition spécifique
|
Art. 9
(…)
§ 2. Lorsque les données n'ont pas été obtenues auprès de la personne concernée, le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard au moment de la première communication des données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne concernée en est déjà informée :
a) le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement;
c) l'existence d'un droit de s'opposer, sur demande et gratuitement, au traitement de données à caractère personnel la concernant envisagé à des fins de direct marketing; dans ce cas, la personne concernée doit être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de direct marketing;
d) d'autres informations supplémentaires, notamment :
- les catégories de données concernées;
- les destinataires ou les catégories de destinataires;
- l'existence d'un droit d'accès et de rectification des données la concernant;
sauf dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont traitées, ces informations supplémentaires ne sont pas nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données;
e) d'autres informations déterminées par le Roi en fonction du caractère spécifique du traitement, après avis de la Commission de la protection de la vie privée.
Le responsable du traitement est dispensé de fournir les informations visées au présent paragraphe :
a) lorsque, en particulier pour un traitement aux fins de statistiques ou de recherche historique ou scientifique ou pour le dépistage motivé par la protection et la promotion de la santé publique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés;
b) lorsque l'enregistrement ou la communication des données à caractère personnel est effectué en vue de l'application d'une disposition prévue par ou en vertu d'une loi, d'un décret ou d'une ordonnance.
Le Roi détermine par arrêté délibéré en Conseil des ministres après avis de la Commission de la protection de la vie privée les conditions pour l'application de l'alinéa précédent.
Lorsque la première communication des données à été effectuée avant l'entrée en vigueur de cette disposition, la communication de l'information doit être effectuée, par dérogation à l'alinéa 1er, au plus tard dans un délai de 3 années suivant la date de l'entrée en vigueur de cette disposition. Cette information ne doit toutefois pas être fournie, lorsque le responsable du traitement était exempté de l'obligation d'informer la personne concernée de l'enregistrement des données en vertu des dispositions légales et réglementaires en application le jour précédant la date de l'entrée en vigueur de cette disposition.
préalablement donné son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et que la communication de ces données peut dès lors être différée.
§ 3. Il ne doit être donné suite à une demande visée aux §§ 1er et 2 qu'à l'expiration d'un délai raisonnable, à compter de la date d'une demande antérieure d'une même personne à laquelle il a été répondu ou de la date à laquelle les données lui ont été communiquées d'office.
|