Article 90
Obligations de secret

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 90 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 90 keyboard_arrow_up

(164) En ce qui concerne les pouvoirs qu'ont les autorités de contrôle d'obtenir du responsable du traitement ou du sous-traitant l'accès aux données à caractère personnel et l'accès à leurs locaux, les États membres peuvent adopter par la loi, dans les limites du présent règlement, des règles spécifiques visant à garantir l'obligation de secret professionnel ou d'autres obligations de secret équivalentes, dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret professionnel. Cela s'entend sans préjudice des obligations existantes incombant aux États membres en matière d'adoption de règles relatives au secret professionnel lorsque le droit de l'Union l'impose.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 90.

Le GDPR

Pour mémoire, en vertu de l'article 58, paragraphe 1, points e) et f), les autorités de contrôle disposent de pouvoirs d’investigation leur permettant d’accéder aux données traitées, aux moyens de traitement, et aux locaux du responsable, ce qui peut poser des difficultés lorsque le responsable ou le sous-traitant visé est soumis à une obligation de secret professionnel.

Il est donc logique que l’article 90 autorise les États membres à adopter des règles particulières afin de protéger ledit secret professionnel ou d’autres obligations de secret équivalentes dans de telles hypothèses.

Il appartient donc à chaque État membre d’examiner si pareilles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et un devoir de secret.

Les règles de confidentialité que peuvent adopter les États membres afin de définir les pouvoirs des autorités de contrôle, sont toutefois limitées aux données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s’est procurées dans le cadre d’une activité couverte par un devoir de secret.

Enfin, l’article 90 § 2 fait obligation aux États membres de notifier les règles qu’ils adoptent en vertu de cette disposition au plus tard deux ans après la publication du futur Règlement au Journal officiel de l’Union européenne ; toute modification ultérieure de ces règles devant être notifiée sans délai à la Commission.

La Directive

La Directive ne connait pas de disposition similaire.

Difficultés probables ?

Ici encore, aucune unification du droit n’est réalisée par le Règlement puisqu’il revient aux États membre de définir de telles règles, chacun en ce qui les concerne.

Règlement
1e 2e

Art. 90

1. Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle visés à l'article 58, paragraphe 1, points e) et f) à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d'autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu'en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou a obtenues dans le cadre d'une activité couverte par ladite obligation de secret.

2. Chaque État membre notifie à la Commission les règles qu'il adopte en vertu du paragraphe 1, au plus tard le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute modification ultérieure les concernant.

Proposition 1 close

1. Dans les limites du présent règlement, les États membres peuvent adopter des règles spéciales afin de définir les pouvoirs d'investigation des autorités de contrôle visés à l’article 53, paragraphe 2, en ce qui concerne les responsables du traitement ou les sous-traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret.

2. Chaque État membre notifie à la Commission les dispositions qu'il adopte conformément au paragraphe 1, au plus tard à la date visée à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Proposition 2 close

1. (...) Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs (...) des autorités de contrôle visés à l'article 53, paragraphe 1, points d bis) et d ter), en ce qui concerne les responsables du traitement ou les sous-traitants qui sont soumis, en vertu du droit de l'Union ou de l'État membre ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel, à d'autres obligations de secret équivalentes ou à un code de déontologie dont le contrôle et le respect des règles sont assurés par des organismes professionnels, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu'en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret.

2. Chaque État membre notifie à la Commission les dispositions qu'il adopte conformément au paragraphe 1, au plus tard à la date visée à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Directive close

Pas de disposition correspondante

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 78

Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer à tout moment dans l'entreprise, le service, ou tout autre endroit pour procéder à un examen sur place afin d'y faire des constatations matérielles.
 Sauf accord écrit de la personne concernée ou autorisation du juge d'instruction, l'inspecteur général et les inspecteurs ne peuvent, sans la présence d'un représentant de l'ordre professionnel, pénétrer dans les locaux d'un professionnel qui est soumis au secret professionnel et pour qui une règlementation légale est prévue concernant des examens sur place et l'accès à leurs locaux professionnels.

Ancienne loi close

Pas de disposition correspondante

Hungary close

Data processing and confidentiality

§ 71 Data Protection Act

(1) In its proceedings the Authority shall be entitled to process - to the extent and for the duration required - those personal data, and classified information protected by law and secrets obtained in the course of professional activities, which are related to the given proceedings, or which are to be processed with a view to concluding the procedure effectively.

(2) The Authority may use the data obtained in the course of conducting its examination for administrative proceedings.

(3) In its proceedings provided for in this Act, the Authority shall have access to data specified in Paragraphs a)-f) and i) of Subsection (1), Subsection (2), Paragraphs c)-f) of Subsection (3), Paragraphs c)-g) of Subsection (4), and Paragraph d) of Subsection (5) of Section 23 of Act CXI of 2011 on the Commissioner of Fundamental Rights (hereinafter referred to as “FRA”) as defined in Subsection (7) of Section 23 of the FRA.

(3a) The Authority shall have access to data specified in Paragraph e) of Subsection (3), Paragraph f) of Subsection (4) and Paragraph d) of Subsection (5) of Section 23 of the FRA, Subsection (3) notwithstanding, if it is required in:

a) formal investigation procedures,

b) administrative proceedings for data protection, or

c) administrative proceedings for the control of secrets,

opened for the protection of personal data of persons covertly cooperating.

(3b) The Authority shall have access to data specified in Paragraph f) of Subsection (3) and Paragraph g) of Subsection (4) Section 23 of the FRA, Subsection (3) notwithstanding, which allow for the identification of individuals using means and methods for covert information gathering operations, if it is required in:

a) formal investigation procedures,

b) administrative proceedings for data protection, or

c) administrative proceedings for the control of secrets,

opened for the protection of personal data of those individuals.

(3c) If the document the Authority plans to examine contains any data which the Authority is entitled to access only within the context of Subsection (3), the data that cannot be disclosed shall be blacked out before the Authority is allowed access to the document in question.

(4) In proceedings related to the processing of classified information the Vice-President of the Authority, including executive officers and examiners shall - in possession of a personal security certificate of appropriate level of clearance - be allowed access to classified information without the authorization prescribed in the Act on the Protection of Classified Information for use.

(5) The President and Vice-President of the Authority, and persons currently or formerly employed by the Authority as civil servants or in any other work-related relationship shall keep confidential any personal data, classified information, secrets protected by law and secrets obtained in the course of professional activities they may have learnt in relation to the operation and actions of the Authority as well as any other data, fact or circumstance that the Authority is not required to make available to the public - except for any disclosure or supply of data to other organizations under the relevant legislation -, during the term of their employment and after the termination thereof.

(6) According to the confidentiality requirement, the persons mentioned in Subsection (5) may not disclose unlawfully any data, facts or circumstance they obtained in connection with the performance of their official duties, nor shall they be allowed to use or reveal such information to third persons.

close