Article 89
Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 89 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 89 keyboard_arrow_up

(56) Lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique dans un État membre requiert que les partis politiques collectent des données à caractère personnel relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt public, à condition que des garanties appropriées soient prévues.

(158) Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.

(159) Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique, le présent règlement devrait également s'appliquer à ce traitement. Aux fins du présent règlement, le traitement de données à caractère personnel à des fins de recherche scientifique devrait être interprété au sens large et couvrir, par exemple, le développement et la démonstration de technologies, la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé. Il devrait, en outre, tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Par "fins de recherche scientifique", il convient également d'entendre les études menées dans l'intérêt public dans le domaine de la santé publique. Pour répondre aux spécificités du traitement de données à caractère personnel à des fins de recherche scientifique, des conditions particulières devraient s'appliquer, en particulier, en ce qui concerne la publication ou la divulgation d'une autre manière de données à caractère personnel dans le cadre de finalités de la recherche scientifique. Si le résultat de la recherche scientifique, en particulier dans le domaine de la santé, justifie de nouvelles mesures dans l'intérêt de la personne concernée, les règles générales du présent règlement s'appliquent à l'égard de ces mesures.

(160) Lorsque des données à caractère personnel sont traitées à des fins de recherche historique, le présent règlement devrait également s'appliquer à ce traitement. Cela devrait aussi comprendre les recherches historiques et les recherches à des fins généalogiques, étant entendu que le présent règlement ne devrait pas s'appliquer aux personnes décédées.

(161) Aux fins du consentement à la participation à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes du règlement (UE) n° 536/2014 du Parlement européen et du Conseil1 devraient s'appliquer.

(162) Lorsque des données à caractère personnel sont traitées à des fins statistiques, le présent règlement devrait s'appliquer à ce traitement. Le droit de l'Union ou le droit des États membres devrait, dans les limites du présent règlement, déterminer le contenu statistique, définir le contrôle de l'accès aux données et arrêter des dispositions particulières pour le traitement de données à caractère personnel à des fins statistiques ainsi que des mesures appropriées pour la sauvegarde des droits et libertés de la personne concernée et pour préserver le secret statistique. Par "fins statistiques", on entend toute opération de collecte et de traitement de données à caractère personnel nécessaires pour des enquêtes statistiques ou la production de résultats statistiques. Ces résultats statistiques peuvent en outre être utilisés à différentes fins, notamment des fins de recherche scientifique. Les fins statistiques impliquent que le résultat du traitement à des fins statistiques ne constitue pas des données à caractère personnel mais des données agrégées, et que ce résultat ou ces données à caractère personnel ne sont pas utilisés à l'appui de mesures ou de décisions concernant une personne physique en particulier.

(163) Les informations confidentielles que les autorités statistiques de l'Union et des États membres recueillent pour élaborer des statistiques officielles européennes et nationales devraient être protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées conformément aux principes statistiques énoncés à l'article 338, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, et les statistiques nationales devraient également respecter le droit des États membres. Le règlement (CE) nº 223/2009 du Parlement européen et du Conseil1 contient d'autres dispositions particulières relatives aux statistiques européennes couvertes par le secret.

Afficher les considérants de la Directive 95/46 liés à l'article 89 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 89 keyboard_arrow_up

(29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne.

(34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes.

Le GDPR

L’article 89 du Règlement prévoit aussi des dérogations expresses pour les finalités à des fins scientifiques, statistiques ou historiques. Il étend également le champ d’application en ajoutant la finalité d’archivage dans l’intérêt public.

À la différence du régime de la Directive, les dérogations valent indépendamment du fait que ces finalités aient été visées lors de la collecte initiale des données ou non. Elles sont donc d’application générale pour toute poursuite de telles finalités.

La réglementation soumet la poursuite de telles finalités à la prise de mesures de sauvegardes des droits et libertés des personnes concernées, garantissant le respect du principe de minimisation des données (art. 5 c)) selon lequel seules les données nécessaires à la poursuite des finalités peuvent faire l’objet d’un traitement. À cet effet, l’article 89 évoque la mise en place de mesures techniques et/ou organisationnelles, telles que la pseudonymisation (art. 4, 5).

La pseudonymisation est définie à l’article 4, 5) comme le traitement de données à caractère personnel de telle façon qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution à une personne identifiée ou identifiable. Il s’agit donc de dissimuler l’identité de la personne concernée, en remplaçant un attribut par un autre dans l’enregistrement afin d’atténuer le risque de mise en corrélation d’un ensemble de données avec l’identité originale d’une personne concernée (voir à cet égard G29, Avis 04/2007 sur le concept de données à caractère personnel). Les données codées sont un exemple classique de pseudonymisation ; G29, WP 216, Avis 05/2014 sur les Techniques d’anonymisation, p. 22).

L’article 89 précise que si la poursuite des finalités le permet, le responsable doit privilégier les traitements ultérieurs de données qui ne permettent pas ou plus l’identification des personnes concernées.

Des dérogations peuvent être apportées par les États membres à certains droits reconnus aux personnes concernées pour les traitements à des fins d’archivage dans l’intérêt public ou à des fins scientifiques, statistiques ou historiques à condition, d’une part, que ces droits risquent de rendre impossibles ou de compromettre sérieusement l’accomplissement des finalités poursuivies et, d’autre part, que ces dérogations soient nécessaires pour accomplir lesdites finalités (§ 2). Toutefois la nature des droits auxquels des dérogations peuvent être apportées dépend de la finalité poursuive :

- En cas de traitements  à des fins de recherche scientifique ou historique ou à des fins statistiques, l’UE ou les États peuvent peuvent prévoir des dérogations aux droits d’accès (art. 15), de rectification (art. 16),  à la limitation du traitement (art. 18) et au droit d’opposition (art. 21)

- En cas de traitements  à des fins archivistiques dans l’intérêt public, l’UE ou les États peuvent déroger aux droits d’accès (art. 15), de rectification (art. 16),  à la limitation du traitement (art. 18), aux obligations de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement (art. 19), au droit à la portabilité des données (art. 20) et au droit d’opposition (art. 21)

Néanmoins, si le traitement à des fins de recherche historique ou scientifique ou à des fins archivistiques dans l’intérêt public poursuit également d’autres finalités de traitement, les dérogations visées ci-avant ne peuvent valoir que pour les traitements effectués qu’aux fins énoncés par l’article 89. Il faut en effet se souvenir que des finalités statistiques, servent souvent d’autres finalités, notamment lorsqu’il s’agit de servir de support à la décision (credit scoring, profilage de clientèle, etc.). La règle veut alors que les régimes dérogatoires ne s’appliquent qu’à la finalité en amont –par exemple à la finalité statistique- alors que les finalités apparaissant en aval restent soumises à l’intégralité des règles de protection des données. C’est également ce que semble vouloir dire le considérant 162, ajout de dernière minute, lorsqu’il énonce que les finalités statistiques dont question ne peuvent pas être utilisées en support de mesures ou de décisions à l’égard d’une personne physique spécifique.

La Directive

La Directive prévoyait déjà diverses dérogations aux principes de protection en faveur de traitements à des fins historiques, statistiques ou scientifiques. Par exemple, l’article 6 prévoyait déjà que de tels traitements n’étaient pas réputés incompatibles avec des finalités initiales différentes, moyennant des garanties prévues par le droit national. Sous la même condition, les données pouvaient également être conservées plus longuement que nécessaire à la finalité initiale ou même réputée compatible.

Toujours moyennant des garanties appropriées, une dérogation à l’obligation d’information des personnes concernées pour les traitements poursuivant de telles finalités était prévue à l’article 11.2 si l'information de la personne concernée se révélait impossible ou impliquait des efforts disproportionnés ou si la législation prévoyait expressément l'enregistrement ou la communication des données.

Pour autant que les données ne puissent pas être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises et qu’il n’existait manifestement aucun risque d’atteinte, les États membres pouvaient prévoir des garanties spécifiques en vue de limiter par une mesure législative le droit d’accès prévu à l’article 12 pour la poursuite exclusive de finalités de recherche scientifique ou pour la seule finalité d'établissement de statistiques lorsque les données étaient stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la poursuite d’une telle finalité (article 13.2).

Belgique

Sur cette base, le droit belge avait prévu un régime particulier applicable aux seuls traitements ultérieurs poursuivant de telles finalités (art. 2 et s. de l’arrêté royal du 13 février 2001) tout en prévoyant également dans la loi des dérogations spécifiques pour de telles finalités.

Difficultés probables ?

Dans la mesure où la disposition précise des conséquences admises du principe de proportionnalité en la matière, la disposition ne fait qu’éclaircir un régime déjà d’application.

Pourtant, le choix des dérogations possibles laisse rêveur et paraît moins approprié en la matière. Pourquoi viser le droit à la portabilité ou le droit à l’oubli et pas le droit à l’information (articles 13 et 14) qui pose le plus de difficultés en la matière ?

Sommaire

Union Européenne

France

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19 (21 Avril 2020)

En raison de la pandémie de COVID-19, d’importants efforts de recherche scientifique sont actuellement menés dans la lutte contre le SARS-CoV-2 afin de parvenir à des résultats aussi rapides que possible.

Dans le même temps, des questions juridiques relatives à l’utilisation de données concernant la santé au sens de l’article 4, point 15), du RGPD à de telles fins de recherche continuent de se poser. Les présentes lignes directrices visent à mettre en lumière les plus urgentes de ces questions telles que la base juridique, la mise en place de garanties adéquates pour ce traitement de données concernant la santé et l’exercice des droits des personnes concernées.

 Veuillez noter que l’élaboration de lignes directrice plus approfondies et plus détaillées pour le traitement des données concernant la santé à des fins de recherche scientifique fait partie du plan de travail annuel du comité européen de la protection des données. Veuillez également noter que les présentes lignes directrices ne concernent pas le traitement des données à caractère personnel à des fins de surveillance épidémiologique.

Lien

Retour au sommaire

France

La CNIL

Recommandation relative aux conditions de réutilisation des données à caractère personnel contenues dans des documents d’archives publiques (9 décembre 2010)

Lien

Recommandation concernant les modalités d'archivage électronique, dans le secteur privé, de données à caractère personnel (11 octobre 2005)

Lien

Guide pratique sur les durées de conservation (Juillet 2020)

La collecte et l’utilisation de ces données personnelles (traitement de données à caractère personnel) doivent s’opérer dans le respect des principes énoncés par le règlement général sur la protection des données (RGPD). Parmi ces principes, figure celui de la limitation de la durée de conservation. Ce principe impose à l’organisme de mettre en place différentes mesures pour organiser la gestion du cycle de vie des données personnelles traitées, et les durées de conservation associées.

Lien

Retour au sommaire
Règlement
1e 2e

Art. 89

1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière.

2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4. Lorsqu'un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.

Proposition 1 close

1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si:

a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée;

b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière.

2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si:

a) la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7;

b) la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche; ou c) la personne concernée a rendu publiques les données en cause.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause.

Proposition 2 close

1. Lorsque les données à caractère personnel sont traitées à des fins scientifiques, statistiques ou historiques, le droit de l'Union ou de l'État membre peut, sous réserve de garanties appropriées applicables aux droits et aux libertés de la personne concernée, prévoir des dérogations à l'article 14 bis, paragraphes 1 et 2, et aux articles 15, 16, 17, 17 bis, 17 ter, 18 et 19, dans la mesure où de telles dérogations sont nécessaires pour atteindre les finalités concernées.

1 bis. Lorsque les données à caractère personnel sont traitées à des fins d'archivage dans l'intérêt public, le droit de l'Union ou de l'État membre peut, sous réserve de garanties appropriées applicables aux droits et aux libertés de la personne concernée, prévoir des dérogations à l'article 14 bis, paragraphes 1 et 2, aux articles 15, 16, 17, 17 bis, 17 ter, 18, 19, 23, 32 et 33 et à l'article 53, paragraphe 1, points b), d) et e), dans la mesure où de telles dérogations sont nécessaires pour atteindre les finalités concernées.

1 ter Dans le cas où un type de traitement visé aux paragraphes 1 et 1 bis sert dans le même temps une autre finalité, les dérogations autorisées sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.

2. Les garanties appropriées visées aux paragraphes 1 et 1 bis sont énoncées dans la législation de l'Union ou de l'État membre et sont de nature à assurer que les mesures de protection technologiques et/ou organisationnelles prévues par le présent règlement sont appliquées aux données à caractère personnel (…), pour réduire au minimum le traitement des données à caractère personnel conformément aux principes de proportionnalité et de nécessité, par exemple, la pseudonymisation des données, à moins que ces mesures n'empêchent la réalisation de la finalité du traitement et que cette finalité ne puisse être atteinte d'une autre façon par un moyen raisonnable.

3. (…).

Directive close

Art. 6

1. Les États membres prévoient que les données à caractère personnel doivent être:

(…)

Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

(…)

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

Art. 11

1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a) l'identité du responsable du traitement et, le cas échéant, de son représentant;

b) les finalités du traitement;

c) toute information supplémentaire telle que:

- les catégories de données concernées,

- les destinataires ou les catégories de destinataires des données,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées.

Art. 13

(…)

2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques.

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
 

Art. 186

Le présent titre détermine le régime dérogatoire aux droits des personnes concernées visés à l’article 89, §§ 2 et 3, du Règlement.

Dans la mesure où l’exercice des droits visés àl’article 89, §§ 2 et 3, du Règlement risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ouhistorique ou à des fins statistiques et où des dérogations sont nécessaires pour atteindre ces finalités, ces dérogations s’appliquent dans les conditions déterminées par le présent titre.

Art. 187

Les articles 190 à 204 ne s’appliquent pas à condition de respecter un code de conduite approuvé conformément à l’article 40 du Règlement.

Art. 188

Pour l’application du présent titre, on entend par:

1° “tiers de confiance”: la personne physique ou morale, l’association de fait ou l’administration publique autre que le responsable du traitement à des fins d’archive ou de recherche ou statistique, qui pseudonymise les données;

2° “communication des données”: communication des données à des tiers identifiés.

3° “diffusion des données”: publication des données, sans identification des tiers;

Art. 189

Le présent titre ne s’applique pas aux traitements effectués par les autorités visés dans le titre 3.

Art. 190

Le responsable du traitement désigne un délégué à la protection des données lorsque le traitement des données à caractère personnel peut engendrer un risque élevé tel que visé par l’article 35 du Règlement.

Art. 191

Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques inclut dans le registre des activités de traitement les éléments suivants:

1° la justification de l’utilisation des données pseudonymisées ou non;

2° les motifs selon lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation de la finalité;

3° le cas échéant, l’analyse d’impact relatif à la protection des données lorsque le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques traite des données sensibles, dans le sens de l’article 9.1 du Règlement.

Art. 192

Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins archivistiques dans l’intérêt public inclut dans le registre des activités de traitement les éléments suivants:

1° la justification de l’intérêt public des archives conservées;

2° les motifs selon lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation des finalités.

Art. 193

Sans préjudice de l’article 13 du Règlement, le responsable du traitement qui collecte des données à caractère personnel auprès de la personne concernée, informe celle-ci:

1° du fait que les données seront anonymisées ou non;

2° des motifs pour lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation des finalités.

Art. 194

Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement conclut une convention avec le responsable du traitement initial.

L’alinéa premier ne s’applique pas lorsque:

1° le traitement se rapporte à des données rendues publiques ;

2° le droit de l’Union européenne, une loi, un décret ou une ordonnance:

a) donne pour mandat au responsable du traitement de traiter des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques;

et

b) interdit la réutilisation des données collectées à d’autres fins.

En cas d’exemption de la conclusion d’une convention, le responsable du traitement informe le responsable du traitement initial de la collecte de données.

Art. 195

La convention ou l’information visée à l’article 194 stipule les éléments suivants:

1° en cas de convention: les coordonnées du responsable du traitement initial et du responsable du traitement ultérieur;

2° les motifs pour lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation de la finalité du traitement ultérieur.

Art. 196

La convention ou l’information sur la collecte de données sont annexés au registre des activités de traitement

Art. 197

Le responsable du traitement à des fins de recherche ou statistiques utilise des données anonymes.

Lorsqu’un  traitement  de  données  anonymes  ne  permet  pas  d’atteindre  la  finalité  de  la  recherche  ou  statistique, le responsable du traitement utilise des données pseudonymisées.

Lorsqu’un traitement de données pseudonymisées ne  permet  pas  d’atteindre  la  finalité  de  recherche  ou  statistique, le responsable du traitement utilise des données non-pseudonymisées

Art. 198

Lors d’un traitement de données à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique ou à des fins statistiques fondé sur une collecte de données auprès de la personne concernée, le responsable du traitement anonymise ou pseudonymise les données après leur collecte.

Art. 199

Lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement ultérieur identique au responsable du traitement initial, le responsable du traitement anonymise ou pseudonymise les données préalablement à leur traitement ultérieur.

Art. 200

Le responsable du traitement ne peut dépseudonymiser les données que pour les nécessités de la recherche ou des fins statistiques et, le cas échéant, après avis du délégué à la protection des données.

Art. 201

Sans préjudice de dispositions particulières, lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par  un responsable du traitement distinct du responsable du traitement initial, le responsable du traitement initial anonymise ou pseudonymise les données préalablement à leur communication au responsable du traitement ultérieur.

Le responsable du traitement ultérieur n’a pas accès aux clés de la pseudonymisation.

Art. 202

§ 1er. Sans préjudice de dispositions particulières, lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitement initiaux, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par l’un des responsables du traitement initial ou par un tiers de confiance.

§ 2. Sans préjudice de dispositions particulières, lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitements initiaux dont l’un au moins de données sensibles, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par le responsable du traitement initial de données sensibles ou par un tiers de confiance.

Seul le responsable du traitement originel qui a pseudonymisé les données ou le tiers de confiance a accès aux clés de pseudonymisation.

Art. 203

Le tiers de confi ance est:

1° soumis au secret professionnel au sens de l ’ ar ticle

458 du Code pénal sous réserve d’autres dispositions

de la présente loi et du Règlement;

2° indépendant du responsable du traitement initial

et du traitement ultérieur.

Art. 204

Lorsqu’un délégué à la protection des données a été désigné conformément à l’article 190, celui-ci donne des conseils sur l’utilisation des différentes méthodes de pseudonymisation et d ’ anonymisation, en particulier leur efficacité en matière de protection des données.

Art. 205

Sans préjudice du droit de l’Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes de diffusion pour la diffusion des données traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques le responsable du traitement ne diffuse pas les données non-pseudonymisées sauf lorsque:

1° la personne concernée a donné son consentement; ou

2° les données ont été rendues publiques par la personne concernée elle-même; ou

3° les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou

4° les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.

Art. 206

Sans préjudice du droit de l’Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la diffusion des données traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, le responsable du traitement peut diffuser des données à caractère personnel pseudonymisées, à l’exception des données visées à l’article 9.1 du Règlement

Art. 207

Sans préjudice du droit de l’Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la communication, le responsable de traitement qui communique des données non pseudonymisées à un tiers identifié pourles finalités visées à l’article 89 du Règlement, veille à ce que le tiers identifi é ne puisse pas reproduire les données communiquées, sauf de manière manuscrite, lorsque

1° il s’agit de données à caractère personnel dans le sens de l’article 9.1 et 10 du Règlement; ou

2° la convention entre le responsable du traitement initial et le responsable du traitement ultérieur l’interdit;

ou

3° cette reproduction risque de nuire à la sécurité de la personne concernée.

Art. 208

L’obligation visée à l’article 207 n’est pas applicable si:

1° la personne concernée a donné son consentement;

ou

2° les données ont été rendues publiques par la personne concernée elle-même; ou

3° les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou

4° les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.

 

Ancienne loi close

Art. 4

§ 1. Les données à caractère personnel doivent être :

1° traitées loyalement et licitement;

2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables.

Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée;

Cfr. 13 FEVRIER 2001. - Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

 

.

close