Article 23
Limitations
(43) considérant que des restrictions aux droits d'accès et d'information, ainsi qu'à certaines obligations mises à la charge du responsable du traitement de données, peuvent également être prévues par les États membres dans la mesure où elles sont nécessaires à la sauvegarde, par exemple, de la sûreté de l'État, de la défense, de la sécurité publique, d'un intérêt économique ou financier important d'un État membre ou de l'Union européenne, ainsi qu'à la recherche et à la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées; qu'il convient d'énumérer, au titre des exceptions et limitations, les missions de contrôle, d'inspection ou de réglementation nécessaires dans les trois derniers domaines précités concernant la sécurité publique, l'intérêt économique ou financier et la répression pénale; que cette énumération de missions concernant ces trois domaines n'affecte pas la légitimité d'exceptions et de restrictions pour des raisons de sûreté de l'État et de défense;
(44) considérant que les États membres peuvent être amenés, en vertu de dispositions du droit communautaire, à déroger aux dispositions de la présente directive concernant le droit d'accès, l'information des personnes et la qualité des données, afin de sauvegarder certaines finalités parmi celles visées ci-dessus;
Règlement
Art. 23 1. Le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation respecte l’essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir: a) la sécurité nationale; b) la défense nationale; c) la sécurité publique; d) la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; e) d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale; f) la protection de l'indépendance de la justice et des procédures judiciaires; g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; h) une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c), d), e) et g); i) la protection de la personne concernée ou des droits et libertés d'autrui; j) l'exécution des demandes de droit civil. 2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant: a) aux finalités du traitement ou des catégories de traitement; b) aux catégories de données à caractère personnel; c) à l'étendue des limitations introduites; d) aux garanties destinées à prévenir les abus ou l'accès ou le transfert illicites; e) à la détermination du responsable du traitement ou des catégories de responsables du traitement; f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement; g) aux risques pour les droits et libertés des personnes concernées; et h) au droit des personnes concernées d'être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. |
Directive
Art. 13 1. Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l'article 6 paragraphe 1, à l'article 10, à l'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure nécessaire pour sauvegarder: a) la sûreté de l'État; b) la défense; c) la sécurité publique; d) la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées; e) un intérêt économique ou financier important d'un État membre ou de l'Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal; f) une mission de contrôle, d'inspection ou de réglementation relevant, même à titre occasionnel, de l'exercice de l'autorité publique, dans les cas visés aux points c), d) et e); g) la protection de la personne concernée ou des droits et libertés d'autrui. 2. Sous réserve de garanties légales appropriées, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans le cas où il n'existe manifestement aucun risque d'atteinte à la vie privée de la personne concernée, limiter par une mesure législative les droits prévus à l'article 12 lorsque les données sont traitées exclusivement aux fins de la recherche scientifique ou sont stockées sous la forme de données à caractère personnel pendant une durée n'excédant pas celle nécessaire à la seule finalité d'établissement de statistiques. |
Belgique
Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel Art.11 § 1er. En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement, ne s’appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3, à l’égard: 1° des autorités et personnes visées aux articles 14, 16 et 19 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité auxquelles ces données ont été transmises directement ou indirectement par les autorités visées au titre 3; 2° des autorités et personnes visées à l’article 2, alinéa 1 er , 2°, de la loi du 10 juillet 2006 relative à l’analyse de la menace ainsi que celles mentionnées à l’article 44/11/3 ter §§ 2 et 3, et à l’article 44/11/3 quater de la loi du 5 août 1992 sur la fonction de police, et qui relèvent du champ d’application du titre 1 er , et auxquelles ces données ont été transmises. § 2. Le responsable du traitement visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que: 1° la loi l’y oblige dans le cadre d’une procédure contentieuse; ou que 2° l’autorité visée au titre 3 concernée l’y autorise. Le responsable du traitement ou l’autorité compétente ne fait aucune mention qu’il est en possession de données émanant des autorités visées au titre 3. § 3. Les limitations visées au paragraphe 1 er portent également sur la journalisation des traitements d’une autorité visée au titre 3 dans les banques de données des responsables du traitement visés par le présent titre auxquelles l’autorité a directement accès. § 4. Le responsable de traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes: 1° il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l’accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service; 2° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres du personnel du responsable de traitement qui traitent les données visées à l’alinéa 1 er sont en outre tenus au devoir de discrétion. § 5. Lorsque l’autorité de contrôle visée dans la loi du 3 décembre 2017 portant création de l’Autorité de protection des données est saisie d’une requête ou d’une plainte où le responsable du traitement fait état de l ’application du présent article, l ’autorité de contrôle s’adresse au Comité permanent R pour qu’il fasse les vérifications nécessaires auprès de l’autorité visée au titre 3. Après réception de la réponse du Comité permanent R, l’Autorité de protection des données n’informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n’émanant pas des autorités visées au titre 3 que l’autorité de contrôle est légalement tenue de communiquer. Si la requête ou la plainte ne porte que sur des don- nées à caractère personnel émanant d’une autorité visée au titre 3, l’Autorité de protection des données répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées. Art.12 En application de l’article 23 du Règlement, un responsable du traitement qui communique des don- nées à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi n’est pas soumis aux articles 14.1.e. et 15.1.c. du Règlement et à l’article 20, § 1 er , 6°, de la présente loi et ne peut informer la personne concernée de cette transmission Art.14 § 1 er En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement ne s’appliquent pas aux traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises, et de l’Unité d’information des passagers visés au titre 2, à l’égard: 1° des autorités publiques, dans le sens de l’article 5 de la présente loi, auxquelles les données ont été transmises par ou en vertu de la loi, d ’un décret ou d’une ordonnance; 2° d’autres organes et des organismes auxquelles les données ont été transmises par ou en vertu d’une loi, d’un décret ou d’une ordonnance. § 2. Le responsable du traitement visé au présent titre qui est en possession de données visées au paragraphe 1 er ne les communique pas à la personne concernée à moins que: 1° la loi l’y oblige dans le cadre d’une procédure contentieuse; ou que 2° les autorités judiciaires, les services de police, l’Inspection générale de la police fédérale et de la police locale, la Cellule de Traitement des Informations Financières, l’Administration générale des douanes et accises, et l’Unité d’information des passagers visés au paragraphe 1 er , chacun pour les données les concernant, l’y autorisent. Le responsable du traitement ou l’autorité compétente ne fait aucune mention qu’il est en possession de données émanant de ceux-ci. § 3. Les limitations visées au paragraphe 1 er portent également sur la journalisation des traitements des autorités judiciaires, des services de police, de l’Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises et de l’Unité d’information des passagers dans les banques de données des responsables du traitement visés au présent titre auxquelles ceux-ci ont directement accès. Ces limitations ne s’appliquent qu’aux données traitées initialement pour les finalités visées à l’article 27 de la présente loi. § 4. Les garanties légales visées à l’article 23.2 du Règlement auxquelles les autorités publiques, organes ou organismes doivent répondre sont déterminées par ou en vertu de la loi. Les autorités publiques, organes ou organismes qui traitent les données émanant directement ou indirecte- ment des autorités judiciaires, des services de police, de l ’ Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l’Administration générale des douanes et accises et de l’Unité d’information des passagers répondent au minimum aux conditions suivantes: 1° ils adoptent des mesures techniques ou organisationnelles appropriées pour assurer que l’accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l’exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service; 2° ils adoptent des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres des autorités publiques, organes ou organismes qui traitent les données visées au § 1 er sont en outre tenus au devoir de discrétion. § 5. Toute demande portant sur l’exercice des droits visés aux articles 12 à 22 du Règlement, adressée à une autorité publique, organe et organisme mentionné au § 1 er , 1° en 2°, est transmise dans les meilleurs délais à l’Autorité de protection des données visée à la loi du 3 décembre 2017 portant création de l’Autorité de protection des données. Lorsque l’Autorité de protection des données est saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, elle procède aux vérifications nécessaires auprès des autorités, organes ou organismes concernés. Lorsque l’Autorité de protection des données a été saisie par la personne concernée, elle informe la per- sonne concernée selon les modalités légales prévues. § 6. Lorsque le traitement porte sur des données initialement traitées par les services de police ou l ’ Inspection générale de la police fédérale et de la police locale, l’Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, s’adresse à l’autorité de contrôle visée à l’article 71 pour qu’elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents. Lorsque l’Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l’autorité visée à l’article 71, l’Autorité de protection des données informe la personne concernée selon les modalités légales prévues. § 7. Lorsque le traitement porte sur des données initialement traitées par les autorités judiciaires, l’Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l’application du présent article, s’adresse à l’autorité de contrôle compétente pour les autorités judiciaires pour qu’elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents, visés au § 1 er , 1° et 2° . Lorsque l’Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l’autorité de contrôle compétente pour les autorités judiciaires, l’Autorité de protection des données informe la personne concernée selon les modalités légales prévues. Art.15 En application de l’article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l’article 5 du Règlement, ne s’appliquent pas aux traitements de données à caractère personnel par l’Unité d’information des passagers, tels que visés au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers. Le responsable du traitement ne communique pas les données visées à l’alinéa 1 er à la personne concernée à moins que la loi l’y oblige dans le cadre d’une procédure contentieuse. Le responsable du traitement ne fait aucune mention à la personne concernée qu’il est en possession de données la concernant. Les limitations visées à l’alinéa 1 er portent égale- ment sur la journalisation des traitements effectués par l’Unité d’information des passagers dans les banques de données des responsables du traitement visés par le présent titre. Lorsque l’autorité de contrôle compétente est saisie d’une requête ou d’une plainte où le responsable du traitement fait état de l’application du présent article, l ’autorité de contrôle répond uniquement que les vérifications nécessaires ont été effectuées. Art.17 En application de l’article 23 du Règlement, un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission. Par “banque de données conjointe”, on entend l’exercice commun des missions effectuées dans le cadre du titre 1 er et des titres 2 ou 3 par plusieurs autorités, structurée à l ’ aide de procédés automatisés et appliqués aux données à caractère personnel.
|