30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Chapitre II Principes de traitement
Article 28
Les données à caractère personnel sont:
- 1°
- traitées de manière licite et loyale;
- 2°
- collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités;
- 3°
- adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;
- 4°
- exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables sont prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder;
- 5°
- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
- 6°
- traitées de façon à garantir la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
Article 29
§ 1
er
Le traitement ultérieur, par le même ou par un autre responsable du traitement, pour l'une des finalités énoncées à l'article 27, autre que celles pour lesquelles les données ont été collectées, est autorisé aux conditions suivantes:
- 1°
- le responsable du traitement est autorisé à traiter ces données à caractère personnel pour une telle finalité conformément à la loi, au décret ou à l'ordonnance, au droit de l'Union européenne ou à l'accord international; et
- 2°
- le traitement est nécessaire et proportionné conformément, à la loi, au décret ou à l'ordonnance au droit de l'Union européenne ou à l'accord international.
§ 2
Les données à caractère personnel ne peuvent pas être traitées ultérieurement par le même ou un autre responsable du traitement à d'autres fins que celles pour lesquelles les données à caractère personnel ont été collectées, et non comprises dans les finalités énoncées à l'article 27, à moins que cette finalité ne soit permise conformément à la loi, au décret, à l'ordonnance, au droit de l'Union européenne ou à l'accord international.
§ 3
Lorsque la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international, soumet le traitement à des conditions spécifiques, l'autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter.
§ 4
Les autorités compétentes qui transmettent les données aux destinataires dans les autres États membres de l'Union européenne ne peuvent faire appliquer des conditions spécifiques supplémentaires à celles applicables aux transferts de données nationaux.
§ 5
Le responsable du traitement est responsable du respect du présent article et est en mesure de le démontrer.
Article 30
Sauf dans les cas où la durée maximale de conservation des données est déterminée dans le droit de l'Union européenne ou l'accord international qui est à la base de la conservation concernée, la loi, le décret, ou l'ordonnance détermine la durée maximale de conservation. À l'échéance de cette durée, les données sont effacées.
Par dérogation à l'alinéa 1er, la loi, le décret ou l'ordonnance peut prévoir qu'à l'échéance d'un premier délai de conservation, une analyse soit effectuée sur la base de différents critères de nécessité et de proportionnalité afin de déterminer si la conservation des données doit être maintenue et, le cas échéant, le nouveau délai de conservation.
Dans ce cas, la loi, le décret ou l'ordonnance prévoit un délai maximum de conservation.
Article 31
Le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que:
- 1°
- les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;
- 2°
- les personnes reconnues coupables d'une infraction pénale;
- 3°
- les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale;
- 4°
- les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux 1° et 2°.
Article 32
§ 1
er
Les données à caractère personnel fondées sur des faits sont dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.
§ 2
Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition.
Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations nécessaires permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.
§ 3
S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 39.
Article 33
§ 1
er
Le traitement est licite si:
- 1°
- il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente pour les finalités énoncées à l'article 27; et
- 2°
- s'il est fondé sur une obligation légale ou réglementaire.
§ 2
L'obligation légale ou réglementaire régit au moins les catégories de données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.
Article 34
§ 1
er
Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, n'est autorisé qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement dans l'un des cas suivants:
- 1°
- lorsque le traitement est autorisé par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international;
- 2°
- lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne physique;
- 3°
- lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée.
§ 2
Les garanties nécessaires visées au paragraphe 1er prévoient au moins que l'autorité compétente ou le responsable de traitement établisse une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente.
L'autorité compétente veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées.
Article 35
Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est autorisée si la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement.
Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 34 est interdit.
