30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Titre 4 Traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques visées à l'article 89, §§ 2 et 3, du Règlement
Chapitre I.er Dispositions générales
Article 186
Le présent titre détermine le régime dérogatoire aux droits des personnes concernées visés à l'article 89, §§ 2 et 3, du Règlement.
Dans la mesure où l'exercice des droits visés à l'article 89, §§ 2 et 3, du Règlement risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des traitements à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques et où des dérogations sont nécessaires pour atteindre ces finalités, ces dérogations s'appliquent dans les conditions déterminées par le présent titre.
Article 187
Les articles 190 à 204 ne s'appliquent pas à condition de respecter un code de conduite approuvé conformément à l'article 40 du Règlement.
Article 188
Pour l'application du présent titre, on entend par:
- 1°
- “tiers de confiance”: la personne physique ou morale, l'association de fait ou l'administration publique autre que le responsable du traitement à des fins d'archive ou de recherche ou statistique, qui pseudonymise les données;
- 2°
- “communication des données”: communication des données à des tiers identifiés;
- 3°
- “diffusion des données”: publication des données, sans identification des tiers.
Article 189
Le présent titre ne s'applique pas aux traitements effectués par les autorités visés dans le titre 3.
Chapitre II Garanties générales
Article 190
Le responsable du traitement désigne un délégué à la protection des données lorsque le traitement des données à caractère personnel peut engendrer un risque élevé tel que visé à l'article 35 du Règlement.
Article 191
Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques inclut dans le registre des activités de traitement les éléments suivants:
- 1°
- la justification de l'utilisation des données pseudonymisées ou non;
- 2°
- les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation de la finalité;
- 3°
- le cas échéant, l'analyse d'impact relatif à la protection des données lorsque le responsable du traitement à des fins de recherche scientifique ou historique ou à des fins statistiques traite des données sensibles, au sens de l'article 9.1 du Règlement.
Article 192
Préalablement à la collecte, et sans préjudice des articles 24 et 30 du Règlement, le responsable du traitement à des fins archivistiques dans l'intérêt public inclut dans le registre des activités de traitement les éléments suivants:
- 1°
- la justification de l'intérêt public des archives conservées;
- 2°
- les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation des finalités.
Chapitre III Collecte de données
Section 1.re Collecte de données auprès de la personne concernée
Article 193
Sans préjudice de l'article 13 du Règlement, le responsable du traitement qui collecte des données à caractère personnel auprès de la personne concernée, informe celle-ci:
- 1°
- du fait que les données seront anonymisées ou non;
- 2°
- des motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation des finalités.
Section 2 Traitement ultérieur de données
Article 194
Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement conclut une convention avec le responsable du traitement initial.
L'alinéa 1
er ne s'applique pas lorsque:
- 1°
- le traitement se rapporte à des données rendues publiques;
- 2°
- le droit de l'Union européenne, une loi, un décret ou une ordonnance:
- a)
- donne pour mandat au responsable du traitement de traiter des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques; et
- b)
- interdit la réutilisation des données collectées à d'autres fins.
En cas d'exemption de la conclusion d'une convention, le responsable du traitement informe le responsable du traitement initial de la collecte de données.
Article 195
La convention ou l'information visée à l'article 194 stipule les éléments suivants:
- 1°
- en cas de convention, les coordonnées du responsable du traitement initial et du responsable du traitement ultérieur;
- 2°
- les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation de la finalité du traitement ultérieur.
Article 196
La convention ou l'information sur la collecte de données sont annexés au registre des activités de traitement.
Article 197
Le responsable du traitement à des fins de recherche ou statistiques utilise des données anonymes.
Lorsqu'un traitement de données anonymes ne permet pas d'atteindre la finalité de la recherche ou statistique, le responsable du traitement utilise des données pseudonymisées.
Lorsqu'un traitement de données pseudonymisées ne permet pas d'atteindre la finalité de recherche ou statistique, le responsable du traitement utilise des données non-pseudonymisées.
Section 3 Anonymisation ou pseudonymisation des données traitées à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 198
Lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques fondé sur une collecte de données auprès de la personne concernée, le responsable du traitement anonymise ou pseudonymise les données après leur collecte.
Article 199
Lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement ultérieur identique au responsable du traitement initial, le responsable du traitement anonymise ou pseudonymise les données préalablement à leur traitement ultérieur.
Article 200
Le responsable du traitement ne peut dépseudonymiser les données que pour les nécessités de la recherche ou des fins statistiques et, le cas échéant, après avis du délégué à la protection des données.
Article 201
Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement distinct du responsable du traitement initial, le responsable du traitement initial anonymise ou pseudonymise les données préalablement à leur communication au responsable du traitement ultérieur.
Le responsable du traitement ultérieur n'a pas accès aux clés de la pseudonymisation.
Article 202
§ 1
er
Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitement initiaux, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par l'un des responsables du traitement initial ou par un tiers de confiance.
§ 2
Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitements initiaux dont l'un au moins de données sensibles, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par le responsable du traitement initial de données sensibles ou par un tiers de confiance.
Seul le responsable du traitement initial qui a pseudonymisé les données ou le tiers de confiance a accès aux clés de pseudonymisation.
Article 203
Le tiers de confiance est:
- 1°
- soumis au secret professionnel au sens de l'article 458 du Code pénal sous réserve d'autres dispositions de la présente loi et du Règlement;
- 2°
- indépendant du responsable du traitement initial et du traitement ultérieur.
Article 204
Lorsqu'un délégué à la protection des données a été désigné conformément à l'article 190, celui-ci donne des conseils sur l'utilisation des différentes méthodes de pseudonymisation et d'anonymisation, en particulier leur efficacité en matière de protection des données.
Section 4 Diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 205
Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes de diffusion pour la diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques le responsable du traitement ne diffuse pas les données non-pseudonymisées sauf lorsque:
- 1°
- la personne concernée a donné son consentement; ou
- 2°
- les données ont été rendues publiques par la personne concernée elle-même; ou
- 3°
- les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou
- 4°
- les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.
Article 206
Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, le responsable du traitement peut diffuser des données pseudonymisées, à l'exception des données à caractère personnel visées à l'article 9.1 du Règlement.
Section 5 Communication des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 207
Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la communication, le responsable de traitement qui communique des données non pseudonymisées à un tiers identifié pour les finalités visées à l'article 89 du Règlement, veille à ce que le tiers identifié ne puisse pas reproduire les données communiquées, sauf de manière manuscrite, lorsque:
- 1°
- il s'agit de données à caractère personnel visées aux articles 9.1 et 10 du Règlement; ou
- 2°
- la convention entre le responsable du traitement initial et le responsable du traitement ultérieur l'interdit; ou
- 3°
- cette reproduction risque de nuire à la sécurité de la personne concernée.
Article 208
L'obligation visée à l'article 207 n'est pas applicable si:
- 1°
- la personne concernée a donné son consentement; ou
- 2°
- les données ont été rendues publiques par la personne concernée elle-même; ou
- 3°
- les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou
- 4°
- les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.
