30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Titre 1.er De la protection des personnes physiques à l'égard du traitement des données à caractère personnel
Chapitre I.er Disposition générale
Article 6
Sans préjudice de dispositions particulières, le présent titre exécute le Règlement.
Chapitre II Principes de traitement
Article 7
En exécution de l'article 8.1 du Règlement, le traitement des données à caractère personnel relatif aux enfants en ce qui concerne l'offre directe de services de la société de l'information aux enfants, est licite lorsque le consentement a été donné par des enfants âgés de 13 ans ou plus.
Lorsque ce traitement porte sur des données à caractère personnel de l'enfant âgé de moins de 13 ans, il n'est licite que si le consentement est donné par le représentant légal de cet enfant.
Article 8
§ 1
er
En exécution de l'article 9.2.g) du Règlement, les traitements ci-après sont considérés comme traitements nécessaires pour des motifs d'intérêt public important:
- 1°
- le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l'homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente. Le Roi peut prévoir des modalités de ce traitement;
- 2°
- le traitement géré par la fondation d'utilité publique “Fondation pour Enfants Disparus et Sexuellement Exploités” pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées, dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit;
- 3°
- le traitement de données à caractère personnel concernant la vie sexuelle, effectué par une association dotée de la personnalité juridique ou par une fondation, qui a pour objet statutaire principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréée et subventionné par l'autorité compétente en vue de la réalisation de cet objet. Ces traitements, qui doivent être destinés à l'évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu'elles soient relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente.
L'arrêté visé à l'alinéa 1er, 3°, précise la durée de validité de l'autorisation, les modalités du traitement des données, les modalités de contrôle de l'association ou de la fondation par l'autorité compétente et la façon dont cette autorité informe l'autorité de contrôle compétente sur le traitement de données à caractère personnel effectué dans le cadre de l'autorisation accordée.
Sauf dispositions légales particulières, le traitement de données génétiques et biométriques aux fins d'identifier une personne physique de manière unique par ces associations et fondations est interdit.
§ 2
Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
§ 3
La fondation visée au paragraphe 1er, alinéa 1er, 2°, ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées. Elle désigne également un délégué à la protection des données.
Article 9
En exécution de l'article 9.4 du Règlement, le responsable du traitement prend les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé:
- 1°
- les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;
- 2°
- la liste des catégories des personnes ainsi désignées est tenue à la disposition de l'autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant;
- 3°
- il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Article 10
§ 1
er
En exécution de l'article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué:
- 1°
- par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige; ou
- 2°
- par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige; ou
- 3°
- par d'autres personnes lorsque le traitement est nécessaire pour des motifs d'intérêt public important pour l'accomplissement de tâches d'intérêt général confiées par ou en vertu d'une loi, d'un décret, d'une ordonnance ou du droit de l'Union européenne; ou
- 4°
- pour les nécessités de la recherche scientifique, historique ou statistique ou à des fins d'archives; ou
- 5°
- si la personne concernée a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités; ou
- 6°
- si le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités.
§ 2
Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Article 10/1
§ 1
er
En application de l'article 125, § 1er, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et sans préjudice de l'application du règlement et de cette loi, l'enregistrement d'une communication électronique et des données relatives au trafic qui s'y rapportent réalisé dans les transactions commerciales licites comme preuve d'une transaction commerciale ou d'une autre communication professionnelle, est autorisé à condition que les parties impliquées dans la communication soient informées de l'enregistrement, des objectifs précis de ce dernier et de la durée de stockage de l'enregistrement, avant l'enregistrement.
Les données visées à l'alinéa 1er sont effacées au plus tard à la fin de la période pendant laquelle la transaction peut être contestée en justice.
§ 2
En application de l'article 125, § 1er, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et sans préjudice de l'application du règlement et de cette loi, la prise de connaissance et l'enregistrement de communications électroniques et des données de trafic, qui visent uniquement à contrôler la qualité du service dans les call centers sont autorisés, à condition que les personnes qui travaillent dans le call center soient informées au préalable de la possibilité de prise de connaissance et d'enregistrement, du but précis de cette opération et de la durée de conservation de la communication et des données enregistrées. Ces données peuvent être conservées maximum un mois.
Article 10/2
En application de l'article 125, § 1
er, 1°, de la loi du 13 juin 2005 relative aux communications électroniques et sans préjudice de l'application du règlement et de cette loi, le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisée uniquement à condition que:
- 1°
- l'abonné ou l'utilisateur concerné reçoive, conformément aux conditions fixées dans le règlement et dans cette loi, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base du règlement et de cette loi;
- 2°
- l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément au 1°.
L'alinéa 1er ne s'applique pas à l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque cela est strictement nécessaire à cet effet.
Chapitre III Limitations aux droits de la personne concernée
Article 11
§ 1
er
En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement, ne s'appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3, à l'égard:
- 1°
- des autorités et personnes visées aux articles 14, 16 et 19 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité auxquelles ces données ont été transmises directement ou indirectement par les autorités visées au titre 3;
- 2°
- des autorités et personnes visées à l'article 2, alinéa 1er, 2°, de la loi du 10 juillet 2006 relative à l'analyse de la menace ainsi que celles mentionnées [aux articles 16 et 23, de la loi du 29 mars 2024 portant création de la banque de données commune “Terrorisme, Extrémisme, processus de Radicalisation” (“T.E.R.”) et modifiant la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, la loi du 30 juillet 2018 portant création de cellules de sécurité intégrale locales en matière de radicalisme, d’extrémisme et de terrorisme et la loi du 5 août 1992 sur la fonction de police], et qui relèvent du champ d'application du titre 1er, et auxquelles ces données ont été transmises.
§ 2
Le responsable du traitement visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que:
- 1°
- la loi l'y oblige dans le cadre d'une procédure contentieuse; ou
- 2°
- l'autorité visée au titre 3 concernée l'y autorise.
Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il est en possession de données émanant des autorités visées au titre 3.
§ 3
Les limitations visées au paragraphe 1er portent également sur la journalisation des traitements d'une autorité visée au titre 3 dans les banques de données des responsables du traitement visés par le présent titre auxquelles l'autorité a directement accès.
§ 4
Le responsable de traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes:
- 1°
- il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;
- 2°
- il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données.
Les membres du personnel du responsable de traitement qui traitent les données visées à l'alinéa 1er sont en outre tenus au devoir de discrétion.
§ 5
Lorsque l'autorité de contrôle visée dans la loi du 3 décembre 2017 portant création de l'Autorité de protection des données est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, l'autorité de contrôle s'adresse au Comité permanent R pour qu'il fasse les vérifications nécessaires auprès de l'autorité visée au titre 3.
Après réception de la réponse du Comité permanent R, l'Autorité de protection des données n'informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n'émanant pas des autorités visées au titre 3 que l'autorité de contrôle est légalement tenue de communiquer.
Si la requête ou la plainte ne porte que sur des données à caractère personnel émanant d'une autorité visée au titre 3, l'Autorité de protection des données répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées.
Article 12
En application de l'article 23 du Règlement, un responsable du traitement qui communique des données à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi n'est pas soumis aux articles 14.1.e. et 15.1.c. du Règlement et à l'article 20, § 1er, 6°, de la présente loi et ne peut informer la personne concernée de cette transmission.
Article 13
Lorsqu'une autorité visée aux sous-titres 1
er et 6 du titre 3 dispose d'un accès direct ou d'une interrogation directe à une banque de données du secteur public ou du secteur privé, ses traitements de données à caractère personnel dans cette banque de données sont protégés par des mesures de sécurité techniques, organisationnelles et individuelles de sorte que seuls les acteurs suivants puissent accéder au contenu de ces traitements pour assurer leurs missions légales de contrôle:
- 1°
- le délégué à la protection des données du responsable du traitement de la banque de données;
- 2°
- le délégué à la protection des données de l'autorité visée aux sous-titres 1 et 6 du titre 3;
- 3°
- le responsable du traitement de la banque de données ou son délégué;
- 4°
- le responsable du traitement de l'autorité visée aux sous-titres 1 et 6 du titre 3;
- 5°
- toute autre personne précisée dans un protocole entre les responsables du traitement, pour autant que l'accès s'inscrive dans l'exercice des missions légales de contrôle des délégués à la protection des données et des responsables du traitement.
Les mesures de sécurité mentionnées à l'alinéa 1er visent à protéger les obligations légales portant sur la protection des sources, la protection de l'identité de leurs agents ou la discrétion des enquêtes des autorités visées aux sous-titres 1 et 6 du titre 3. Elles sont mises à la disposition de l'autorité de contrôle compétente.
Ces traitements ne peuvent être accessibles pour d'autres finalités que celles liées au contrôle que si ces finalités sont consignées dans un protocole d'accord par les responsables du traitement concernés parmi les finalités déterminées par ou en vertu d'une loi.
Le protocole d'accord désigne la ou les personnes dont l'accès aux journaux est nécessaire pour remplir chaque finalité autorisée à l'alinéa 3.
Les journaux et les mesures de sécurité mentionnées à l'alinéa 1er sont mis à la disposition du Comité permanent R.
L'autorité visée au titre 3 concernée peut déroger à l'alinéa 1er lorsque l'accès à ses traitements dans une banque de données et aux journaux n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 2.
Article 14
§ 1
er
En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement ne s'appliquent pas aux traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises, et de l'Unité d'information des passagers visés au titre 2, à l'égard:
- 1°
- des autorités publiques, dans le sens de l'article 5 de la présente loi, auxquelles les données ont été transmises par ou en vertu de la loi, d'un décret ou d'une ordonnance;
- 2°
- d'autres organes et des organismes auxquelles les données ont été transmises par ou en vertu d'une loi, d'un décret ou d'une ordonnance.
§ 2
Le responsable du traitement visé au présent titre qui est en possession de données visées au paragraphe 1
er ne les communique pas à la personne concernée à moins que:
- 1°
- la loi l'y oblige dans le cadre d'une procédure contentieuse; ou que
- 2°
- les autorités judiciaires, les services de police, l'Inspection générale de la police fédérale et de la police locale, la Cellule de Traitement des Informations Financières, l'Administration générale des douanes et accises, et l'Unité d'information des passagers visés au paragraphe 1er, chacun pour les données les concernant, l'y autorisent.
Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il est en possession de données émanant de ceux-ci.
§ 3
Les limitations visées au paragraphe 1er portent également sur la journalisation des traitements des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises et de l'Unité d'information des passagers dans les banques de données des responsables du traitement visés au présent titre auxquelles ceux-ci ont directement accès.
Ces limitations ne s'appliquent qu'aux données traitées initialement pour les finalités visées à l'article 27 de la présente loi.
§ 4
Les garanties légales visées à l'article 23.2 du Règlement auxquelles les autorités publiques, organes ou organismes doivent répondre sont déterminées par ou en vertu de la loi.
Les autorités publiques, organes ou organismes qui traitent les données émanant directement ou indirectement des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises et de l'Unité d'information des passagers répondent au minimum aux conditions suivantes:
- 1°
- ils adoptent des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;
- 2°
- ils adoptent des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données.
Les membres des autorités publiques, organes ou organismes qui traitent les données visées au § 1er sont en outre tenus au devoir de discrétion.
§ 5
Toute demande portant sur l'exercice des droits visés aux articles 12 à 22 du Règlement, adressée à une autorité publique, organe et organisme mentionné au § 1er, 1° en 2°, est transmise dans les meilleurs délais à l'Autorité de protection des données visée à la loi du 3 décembre 2017 portant création de l'Autorité de protection des données.
Lorsque l'Autorité de protection des données est saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, elle procède aux vérifications nécessaires auprès des autorités, organes ou organismes concernés.
Lorsque l'Autorité de protection des données a été saisie par la personne concernée, elle informe la personne concernée selon les modalités légales prévues.
§ 6
Lorsque le traitement porte sur des données initialement traitées par les services de police ou l'Inspection générale de la police fédérale et de la police locale, l'Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, s'adresse à l'autorité de contrôle visée à l'article 71 pour qu'elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents.
Lorsque l'Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l'autorité visée à l'article 71, l'Autorité de protection des données informe la personne concernée selon les modalités légales prévues.
§ 7
Lorsque le traitement porte sur des données initialement traitées par les autorités judiciaires, l'Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, s'adresse à l'autorité de contrôle compétente pour les autorités judiciaires pour qu'elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents, visés au § 1er, 1° et 2°.
Lorsque l'Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l'autorité de contrôle compétente pour les autorités judiciaires, l'Autorité de protection des données informe la personne concernée selon les modalités légales prévues.
Article 15
En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement, ne s'appliquent pas aux traitements de données à caractère personnel par l'Unité d'information des passagers, tels que visés au chapitre 7 de la loi du 25 décembre 2016 relative au traitement des données des passagers.
Le responsable du traitement ne communique pas les données visées à l'alinéa 1er à la personne concernée à moins que la loi l'y oblige dans le cadre d'une procédure contentieuse.
Le responsable du traitement ne fait aucune mention à la personne concernée qu'il est en possession de données la concernant.
Les limitations visées à l'alinéa 1er portent également sur la journalisation des traitements effectués par l'Unité d'information des passagers dans les banques de données des responsables du traitement visés par le présent titre.
Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, l'autorité de contrôle répond uniquement que les vérifications nécessaires ont été effectuées.
Article 16
Lorsque les données à caractère personnel figurent dans une décision judiciaire ou un dossier judiciaire, ou font l'objet d'un traitement lors d'une enquête judiciaire et d'une procédure pénale, les droits visés aux articles 12 à 22 et 34 du Règlement sont exercés conformément au Code judiciaire, au Code d'instruction criminelle, aux lois particulières relatives à la procédure pénale ainsi qu'aux arrêtés d'exécution.
Article 17
En application de l'article 23 du Règlement, un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission.
Par “banque de données conjointe”, on entend l'exercice commun des missions effectuées dans le cadre du titre 1er et des titres 2 ou 3 par plusieurs autorités, structurée à l'aide de procédés automatisés et appliqués aux données à caractère personnel.
Chapitre IV Responsable du traitement et sous-traitant
Section 1.re Disposition générale
Article 18
En exécution de l'article 43 du Règlement, les organismes de certification sont accrédités conformément à la norme EN-ISO/IEC 17065 et aux exigences supplémentaires établies par l'autorité de contrôle par l'organisme national d'accréditation désigné conformément au Règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil.
Section 2 Secteur public
Article 19
La présente section est applicable aux services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police structuré organisé à deux niveaux, qui sont considérés comme une seule autorité publique.
Article 20
§ 1
er
Sauf autre disposition dans des lois particulières, en exécution de l'article 6.2 du Règlement, l'autorité publique fédérale qui transfert des données à caractère personnel sur la base de l'article 6.1.c) et e), du Règlement à toute autre autorité publique ou organisation privée, formalise cette transmission pour chaque type de traitement par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données.
Ce protocole peut prévoir notamment:
- 1°
- l'identification de l'autorité publique fédérale qui transfère les données à caractère personnel et celle du destinataire;
- 2°
- l'identification du responsable du traitement au sein de l'autorité publique qui transfère les données et au sein du destinataire;
- 3°
- les coordonnées des délégués à la protection des données concernés au sein de l'autorité publique qui transfère les données ainsi que du destinataire;
- 4°
- les finalités pour lesquelles les données à caractère personnel sont transférées;
- 5°
- les catégories de données à caractère personnel transférées et leur format;
- 6°
- les catégories de destinataires;
- 7°
- la base légale du transfert;
- 8°
- les modalités de communication utilisée;
- 9°
- toute mesure spécifique encadrant le transfert conformément au principe de proportionnalité et aux exigences de protection des données dès la conception et par défaut;
- 10°
- les restrictions légales applicables aux droits de la personne concernée;
- 11°
- les modalités des droits de la personne concernées auprès du destinataire;
- 12°
- la périodicité du transfert;
- 13°
- la durée du protocole;
- 14°
- les sanctions applicables en cas de non- respect du protocole, sans préjudice du titre 6.
§ 2
Le protocole est adopté après les avis respectifs du délégué à la protection des données de l'autorité publique fédérale détenteur des données à caractère personnel et du destinataire. Ces avis sont annexés au protocole. Lorsqu'au moins un de ces avis n'est pas suivi par les responsables du traitement, le protocole mentionne, en ses dispositions introductives, la ou les raisons pour laquelle ou lesquelles cet ou ces avis n'ont pas été suivis.
§ 3
Le protocole est publié sur le site internet des responsables du traitement concernés.
Article 21
En exécution de l'article 37.4 du Règlement, un organisme privé qui traite des données à caractère personnel pour le compte d'une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données à caractère personnel désignent un délégué à la protection des données lorsque le traitement de ces données peut engendrer un risque élevé tel que visé à l'article 35 du Règlement.
Article 22
Lorsque le traitement de données à caractère personnel peut engendrer un risque élevé tel que visé à l'article 35 du Règlement, l'autorité publique fédérale demande préalablement au traitement l'avis du délégué à la protection des données.
Lorsque l'autorité publique fédérale poursuit la mise en œuvre de ce traitement contrairement à l'avis et aux recommandations du délégué à la protection des données, il motive sa décision.
La motivation indique les raisons du non-suivi de l'avis ou des recommandations.
Article 23
En exécution de l'article 35.10 du Règlement, une analyse d'impact spécifique de protection des données est effectuée avant l'activité de traitement, même si une analyse d'impact générale relative à la protection des données a déjà été réalisée dans le cadre de l'adoption de la base légale.
Chapitre V Traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire
Article 24
§ 1
er
On entend par traitement de données à caractère personnel à des fins journalistiques la préparation, la collecte, la rédaction, la production, la diffusion ou l'archivage à des fins d'informer le public, à l'aide de tout média et où responsable du traitement s'impose des règles de déontologie journalistique.
§ 2
Les articles 7 à 10, 11.2, 13 à 16, 18 à 20 et 21.1 du Règlement ne s'appliquent pas aux traitements de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire.
§ 3
Les articles 30.4, 31, 33 et 36 du Règlement ne s'appliquent pas aux traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire lorsque leur application compromettrait une publication en projet ou constituerait une mesure de contrôle préalable à la publication d'un article.
§ 4
Les articles 44 à 50 du Règlement ne s'appliquent pas aux transferts de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire vers des pays tiers ou à des organisations internationales dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et la liberté d'expression et d'information.
§ 5
L'article 58 du Règlement ne s'applique pas aux traitements de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire lorsque son application fournirait des indications sur les sources d'information ou constituerait une mesure de contrôle préalable à la publication d'un article.
