Article 89
Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public
(29) considérant que le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques n'est pas considéré en général comme incompatible avec les finalités pour lesquelles les données ont été auparavant collectées, dans la mesure où les États membres prévoient des garanties appropriées; que ces garanties doivent notamment empêcher l'utilisation des données à l'appui de mesures ou de décisions prises à l'encontre d'une personne.
(34) considérant que les États membres doivent également être autorisés à déroger à l'interdiction de traiter des catégories de données sensibles lorsqu'un motif d'intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale - particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance maladie - et tels que la recherche scientifique et les statistiques publiques; qu'il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes.
Règlement
Art. 89 1. Le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l'identification des personnes concernées, il convient de procéder de cette manière. 2. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. 3. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. 4. Lorsqu'un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes. |
Directive
Art. 6 1. Les États membres prévoient que les données à caractère personnel doivent être: (…) Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées; (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques. Art. 11 1. Lorsque les données n'ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée: a) l'identité du responsable du traitement et, le cas échéant, de son représentant; b) les finalités du traitement; c) toute information supplémentaire telle que: - les catégories de données concernées, - les destinataires ou les catégories de destinataires des données, - l'existence d'un droit d'accès aux données la concernant et de rectification de ces données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données. 2. Le paragraphe 1 ne s'applique pas lorsque, en particulier pour un traitement à finalité statistique ou de recherche historique ou scientifique, l'information de la personne concernée se révèle impossible ou implique des efforts disproportionnés ou si la législation prévoit expressément l'enregistrement ou la communication des données. Dans ces cas, les États membres prévoient des garanties appropriées. Art. 13 (…) 2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques. |
Belgique
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Art. 186 Le présent titre détermine le régime dérogatoire aux droits des personnes concernées visés à l’article 89, §§ 2 et 3, du Règlement. Dans la mesure où l’exercice des droits visés àl’article 89, §§ 2 et 3, du Règlement risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des traitements à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ouhistorique ou à des fins statistiques et où des dérogations sont nécessaires pour atteindre ces finalités, ces dérogations s’appliquent dans les conditions déterminées par le présent titre. Art. 187 Les articles 190 à 204 ne s’appliquent pas à condition de respecter un code de conduite approuvé conformément à l’article 40 du Règlement. Art. 188 Pour l’application du présent titre, on entend par: 1° “tiers de confiance”: la personne physique ou morale, l’association de fait ou l’administration publique autre que le responsable du traitement à des fins d’archive ou de recherche ou statistique, qui pseudonymise les données; 2° “communication des données”: communication des données à des tiers identifiés. 3° “diffusion des données”: publication des données, sans identification des tiers; Art. 189 Le présent titre ne s’applique pas aux traitements effectués par les autorités visés dans le titre 3. Art. 190 Le responsable du traitement désigne un délégué à la protection des données lorsque le traitement des données à caractère personnel peut engendrer un risque élevé tel que visé par l’article 35 du Règlement. Art. 191 Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques inclut dans le registre des activités de traitement les éléments suivants: 1° la justification de l’utilisation des données pseudonymisées ou non; 2° les motifs selon lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation de la finalité; 3° le cas échéant, l’analyse d’impact relatif à la protection des données lorsque le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques traite des données sensibles, dans le sens de l’article 9.1 du Règlement. Art. 192 Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins archivistiques dans l’intérêt public inclut dans le registre des activités de traitement les éléments suivants: 1° la justification de l’intérêt public des archives conservées; 2° les motifs selon lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation des finalités. Art. 193 Sans préjudice de l’article 13 du Règlement, le responsable du traitement qui collecte des données à caractère personnel auprès de la personne concernée, informe celle-ci: 1° du fait que les données seront anonymisées ou non; 2° des motifs pour lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation des finalités. Art. 194 Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement conclut une convention avec le responsable du traitement initial. L’alinéa premier ne s’applique pas lorsque: 1° le traitement se rapporte à des données rendues publiques ; 2° le droit de l’Union européenne, une loi, un décret ou une ordonnance: a) donne pour mandat au responsable du traitement de traiter des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques; et b) interdit la réutilisation des données collectées à d’autres fins. En cas d’exemption de la conclusion d’une convention, le responsable du traitement informe le responsable du traitement initial de la collecte de données. Art. 195 La convention ou l’information visée à l’article 194 stipule les éléments suivants: 1° en cas de convention: les coordonnées du responsable du traitement initial et du responsable du traitement ultérieur; 2° les motifs pour lesquels l’exercice des droits de la personne concernée risque de rendre impossible ou d’entraver sérieusement la réalisation de la finalité du traitement ultérieur. Art. 196 La convention ou l’information sur la collecte de données sont annexés au registre des activités de traitement Art. 197 Le responsable du traitement à des fins de recherche ou statistiques utilise des données anonymes. Lorsqu’un traitement de données anonymes ne permet pas d’atteindre la finalité de la recherche ou statistique, le responsable du traitement utilise des données pseudonymisées. Lorsqu’un traitement de données pseudonymisées ne permet pas d’atteindre la finalité de recherche ou statistique, le responsable du traitement utilise des données non-pseudonymisées Art. 198 Lors d’un traitement de données à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique ou à des fins statistiques fondé sur une collecte de données auprès de la personne concernée, le responsable du traitement anonymise ou pseudonymise les données après leur collecte. Art. 199 Lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement ultérieur identique au responsable du traitement initial, le responsable du traitement anonymise ou pseudonymise les données préalablement à leur traitement ultérieur. Art. 200 Le responsable du traitement ne peut dépseudonymiser les données que pour les nécessités de la recherche ou des fins statistiques et, le cas échéant, après avis du délégué à la protection des données. Art. 201 Sans préjudice de dispositions particulières, lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement distinct du responsable du traitement initial, le responsable du traitement initial anonymise ou pseudonymise les données préalablement à leur communication au responsable du traitement ultérieur. Le responsable du traitement ultérieur n’a pas accès aux clés de la pseudonymisation. Art. 202 § 1er. Sans préjudice de dispositions particulières, lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitement initiaux, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par l’un des responsables du traitement initial ou par un tiers de confiance. § 2. Sans préjudice de dispositions particulières, lors d’un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitements initiaux dont l’un au moins de données sensibles, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par le responsable du traitement initial de données sensibles ou par un tiers de confiance. Seul le responsable du traitement originel qui a pseudonymisé les données ou le tiers de confiance a accès aux clés de pseudonymisation. Art. 203 Le tiers de confi ance est: 1° soumis au secret professionnel au sens de l ’ ar ticle 458 du Code pénal sous réserve d’autres dispositions de la présente loi et du Règlement; 2° indépendant du responsable du traitement initial et du traitement ultérieur. Art. 204 Lorsqu’un délégué à la protection des données a été désigné conformément à l’article 190, celui-ci donne des conseils sur l’utilisation des différentes méthodes de pseudonymisation et d ’ anonymisation, en particulier leur efficacité en matière de protection des données. Art. 205 Sans préjudice du droit de l’Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes de diffusion pour la diffusion des données traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques le responsable du traitement ne diffuse pas les données non-pseudonymisées sauf lorsque: 1° la personne concernée a donné son consentement; ou 2° les données ont été rendues publiques par la personne concernée elle-même; ou 3° les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou 4° les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée. Art. 206 Sans préjudice du droit de l’Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la diffusion des données traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, le responsable du traitement peut diffuser des données à caractère personnel pseudonymisées, à l’exception des données visées à l’article 9.1 du Règlement Art. 207 Sans préjudice du droit de l’Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la communication, le responsable de traitement qui communique des données non pseudonymisées à un tiers identifié pourles finalités visées à l’article 89 du Règlement, veille à ce que le tiers identifi é ne puisse pas reproduire les données communiquées, sauf de manière manuscrite, lorsque 1° il s’agit de données à caractère personnel dans le sens de l’article 9.1 et 10 du Règlement; ou 2° la convention entre le responsable du traitement initial et le responsable du traitement ultérieur l’interdit; ou 3° cette reproduction risque de nuire à la sécurité de la personne concernée. Art. 208 L’obligation visée à l’article 207 n’est pas applicable si: 1° la personne concernée a donné son consentement; ou 2° les données ont été rendues publiques par la personne concernée elle-même; ou 3° les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou 4° les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.
|