30/07/18 Loi RGPD
Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel
Chapitre III Collecte de données
Section 1.re Collecte de données auprès de la personne concernée
Article 193
Sans préjudice de l'article 13 du Règlement, le responsable du traitement qui collecte des données à caractère personnel auprès de la personne concernée, informe celle-ci:
- 1°
- du fait que les données seront anonymisées ou non;
- 2°
- des motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation des finalités.
Section 2 Traitement ultérieur de données
Article 194
Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement conclut une convention avec le responsable du traitement initial.
L'alinéa 1
er ne s'applique pas lorsque:
- 1°
- le traitement se rapporte à des données rendues publiques;
- 2°
- le droit de l'Union européenne, une loi, un décret ou une ordonnance:
- a)
- donne pour mandat au responsable du traitement de traiter des données à caractère personnel à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques; et
- b)
- interdit la réutilisation des données collectées à d'autres fins.
En cas d'exemption de la conclusion d'une convention, le responsable du traitement informe le responsable du traitement initial de la collecte de données.
Article 195
La convention ou l'information visée à l'article 194 stipule les éléments suivants:
- 1°
- en cas de convention, les coordonnées du responsable du traitement initial et du responsable du traitement ultérieur;
- 2°
- les motifs pour lesquels l'exercice des droits de la personne concernée risque de rendre impossible ou d'entraver sérieusement la réalisation de la finalité du traitement ultérieur.
Article 196
La convention ou l'information sur la collecte de données sont annexés au registre des activités de traitement.
Article 197
Le responsable du traitement à des fins de recherche ou statistiques utilise des données anonymes.
Lorsqu'un traitement de données anonymes ne permet pas d'atteindre la finalité de la recherche ou statistique, le responsable du traitement utilise des données pseudonymisées.
Lorsqu'un traitement de données pseudonymisées ne permet pas d'atteindre la finalité de recherche ou statistique, le responsable du traitement utilise des données non-pseudonymisées.
Section 3 Anonymisation ou pseudonymisation des données traitées à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 198
Lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques fondé sur une collecte de données auprès de la personne concernée, le responsable du traitement anonymise ou pseudonymise les données après leur collecte.
Article 199
Lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement ultérieur identique au responsable du traitement initial, le responsable du traitement anonymise ou pseudonymise les données préalablement à leur traitement ultérieur.
Article 200
Le responsable du traitement ne peut dépseudonymiser les données que pour les nécessités de la recherche ou des fins statistiques et, le cas échéant, après avis du délégué à la protection des données.
Article 201
Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques par un responsable du traitement distinct du responsable du traitement initial, le responsable du traitement initial anonymise ou pseudonymise les données préalablement à leur communication au responsable du traitement ultérieur.
Le responsable du traitement ultérieur n'a pas accès aux clés de la pseudonymisation.
Article 202
§ 1
er
Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitement initiaux, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par l'un des responsables du traitement initial ou par un tiers de confiance.
§ 2
Sans préjudice de dispositions particulières, lors d'un traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques couplant plusieurs traitements initiaux dont l'un au moins de données sensibles, les responsables des traitements initiaux font, préalablement à la communication des données au responsable du traitement ultérieur, anonymiser ou pseudonymiser les données par le responsable du traitement initial de données sensibles ou par un tiers de confiance.
Seul le responsable du traitement initial qui a pseudonymisé les données ou le tiers de confiance a accès aux clés de pseudonymisation.
Article 203
Le tiers de confiance est:
- 1°
- soumis au secret professionnel au sens de l'article 458 du Code pénal sous réserve d'autres dispositions de la présente loi et du Règlement;
- 2°
- indépendant du responsable du traitement initial et du traitement ultérieur.
Article 204
Lorsqu'un délégué à la protection des données a été désigné conformément à l'article 190, celui-ci donne des conseils sur l'utilisation des différentes méthodes de pseudonymisation et d'anonymisation, en particulier leur efficacité en matière de protection des données.
Section 4 Diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 205
Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes de diffusion pour la diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques le responsable du traitement ne diffuse pas les données non-pseudonymisées sauf lorsque:
- 1°
- la personne concernée a donné son consentement; ou
- 2°
- les données ont été rendues publiques par la personne concernée elle-même; ou
- 3°
- les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou
- 4°
- les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.
Article 206
Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la diffusion des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, le responsable du traitement peut diffuser des données pseudonymisées, à l'exception des données à caractère personnel visées à l'article 9.1 du Règlement.
Section 5 Communication des données traitées à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Article 207
Sans préjudice du droit de l'Union européenne, des lois particulières, ordonnances et décrets prévoyant des conditions plus strictes pour la communication, le responsable de traitement qui communique des données non pseudonymisées à un tiers identifié pour les finalités visées à l'article 89 du Règlement, veille à ce que le tiers identifié ne puisse pas reproduire les données communiquées, sauf de manière manuscrite, lorsque:
- 1°
- il s'agit de données à caractère personnel visées aux articles 9.1 et 10 du Règlement; ou
- 2°
- la convention entre le responsable du traitement initial et le responsable du traitement ultérieur l'interdit; ou
- 3°
- cette reproduction risque de nuire à la sécurité de la personne concernée.
Article 208
L'obligation visée à l'article 207 n'est pas applicable si:
- 1°
- la personne concernée a donné son consentement; ou
- 2°
- les données ont été rendues publiques par la personne concernée elle-même; ou
- 3°
- les données ont une relation étroite avec le caractère public ou historique de la personne concernée; ou
- 4°
- les données ont une relation étroite avec le caractère public ou historique de faits dans lesquelles la personne concernée a été impliquée.
