← België

Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

En bref

Cette loi belge du 30 juillet 2018 vise à protéger les personnes physiques concernant le traitement de leurs données personnelles, en complément du Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne. Elle établit des règles spécifiques pour certains types de traitements de données et des situations particulières.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
30 JUILLET 2018. - Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. La Chambre des représentants a adopté et Nous sanctionnons ce qui suit : TITRE PRELIMINAIRE. - Dispositions introductives Article 1er.La présente loi règle une matière visée à l'article 74 de la Constitution. Art. 2.La présente loi s'applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ci-après "le Règlement", s'applique également au traitement de données à caractère personnel visés aux articles 2.2.a) et 2.2.b) du Règlement. Art. 3.La libre circulation des données à caractère personnel n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. En particulier, le partage des données à caractère personnel entre les responsables du traitement, les autorités compétentes, les services, organes et les destinataires, visés aux titres 1er à 3 de la présente loi et qui agissent dans le cadre des finalités visées à l'article 23.1.a) à h), du Règlement, ne peut être ni limité ni interdit pour de tels motifs. Une limitation ou une interdiction peut toutefois avoir lieu s'il y a un risque élevé que le partage des données aboutirait à contourner la présente loi. Art. 4.§ 1er. La présente loi s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire belge, que le traitement ait lieu ou non sur le territoire belge. § 2. La présente loi s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire belge par un responsable du traitement ou un sous-traitant qui n'est pas établi sur le territoire de l'Union européenne, lorsque les activités de traitement sont liées : 1° à l'offre de biens ou de services à ces personnes concernées sur le territoire belge, qu'un paiement soit exigé ou non desdites personnes; ou 2° au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu sur le territoire belge. § 3. Par dérogation au paragraphe 1er, lorsque le responsable du traitement est établi dans un Etat membre de l'Union européenne et fait appel à un sous-traitant établi sur le territoire belge, le droit de l'Etat membre en question s'applique au sous-traitant pour autant que le traitement a lieu sur le territoire de cet Etat membre. § 4. La présente loi s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi sur le territoire belge mais dans un lieu où le droit belge s'applique en vertu du droit international public. Art. 5.Les définitions du Règlement s'appliquent. Pour l'application de la présente loi, on entend par "autorité publique" : 1° l'état fédéral, les entités fédérées et les autorités locales;2° les personnes morales de droit public qui dépendent de l'Etat fédéral, des entités fédérées ou des autorités locales;3° les personnes, quelles que soient leur forme et leur nature qui : - ont été créées pour satisfaire spécifiquement des besoins d'intérêt général ayant un caractère autre qu'industriel ou commercial;et - sont dotées de la personnalité juridique; et - dont soit l'activité est financée majoritairement par les autorités publiques ou organismes mentionnés au 1° ou 2°, soit la gestion est soumise à un contrôle de ces autorités ou organismes, soit plus de la moitié des membres de l'organe d'administration, de direction ou de surveillance sont désignés par ces autorités ou organismes; 4° les associations formées par une ou plusieurs autorités publiques visées au 1°, 2° ou 3°. TITRE 1er. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel CHAPITRE Ier. - Disposition générale Art. 6.Sans préjudice de dispositions particulières, le présent titre exécute le Règlement. CHAPITRE II. - Principes de traitement Art. 7.En exécution de l'article 8.1 du Règlement, le traitement des données à caractère personnel relatif aux enfants en ce qui concerne l'offre directe de services de la société de l'information aux enfants, est licite lorsque le consentement a été donné par des enfants âgés de 13 ans ou plus. Lorsque ce traitement porte sur des données à caractère personnel de l'enfant âgé de moins de 13 ans, il n'est licite que si le consentement est donné par le représentant légal de cet enfant. Art. 8.§ 1er. En exécution de l'article 9.2.g) du Règlement, les traitements ci-après sont considérés comme traitements nécessaires pour des motifs d'intérêt public important : 1° le traitement effectué par des associations dotées de la personnalité juridique ou par des fondations qui ont pour objet statutaire principal la défense et la promotion des droits de l'homme et des libertés fondamentales, en vue de la réalisation de cet objet, à condition que ce traitement soit autorisé par le Roi, par arrêté délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente.Le Roi peut prévoir des modalités de ce traitement; 2° le traitement géré par la fondation d'utilité publique "Fondation pour Enfants Disparus et Sexuellement Exploités" pour la réception, la transmission à l'autorité judiciaire et le suivi de données concernant des personnes qui sont suspectées, dans un dossier déterminé de disparition ou d'exploitation sexuelle, d'avoir commis un crime ou un délit;3° le traitement de données à caractère personnel concernant la vie sexuelle, effectué par une association dotée de la personnalité juridique ou par une fondation, qui a pour objet statutaire principal l'évaluation, la guidance et le traitement des personnes dont le comportement sexuel peut être qualifié d'infraction, et qui est agréée et subventionné par l'autorité compétente en vue de la réalisation de cet objet.Ces traitements, qui doivent être destinés à l'évaluation, la guidance et le traitement des personnes visées dans le présent paragraphe et qui ne peuvent porter que sur des données à caractère personnel qui, pour autant qu'elles soient relatives à la vie sexuelle, concernent les personnes visées dans le présent paragraphe, sont soumis à une autorisation spéciale individuelle accordée par le Roi, dans un arrêté royal délibéré en Conseil des ministres, après avis de l'autorité de contrôle compétente. L'arrêté visé à l'alinéa 1er, 3°, précise la durée de validité de l'autorisation, les modalités du traitement des données, les modalités de contrôle de l'association ou de la fondation par l'autorité compétente et la façon dont cette autorité informe l'autorité de contrôle compétente sur le traitement de données à caractère personnel effectué dans le cadre de l'autorisation accordée. Sauf dispositions légales particulières, le traitement de données génétiques et biométriques aux fins d'identifier une personne physique de manière unique par ces associations et fondations est interdit. § 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente. Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. § 3. La fondation visée au paragraphe 1er, alinéa 1er, 2°, ne peut tenir un fichier de personnes suspectes d'avoir commis un crime ou un délit ou de personnes condamnées. Elle désigne également un délégué à la protection des données. Art. 9.En exécution de l'article 9.4 du Règlement, le responsable du traitement prend les mesures supplémentaires suivantes lors du traitement de données génétiques, biométriques ou des données concernant la santé : 1° les catégories de personnes ayant accès aux données à caractère personnel, sont désignées par le responsable du traitement ou, le cas échéant, par le sous-traitant, avec une description précise de leur fonction par rapport au traitement des données visées;2° la liste des catégories des personnes ainsi désignées est tenue à la disposition de l'autorité de contrôle compétente par le responsable du traitement ou, le cas échéant, par le sous-traitant;3° il veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. Art. 10.§ 1er. En exécution de l'article 10 du Règlement, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions pénales ou aux mesures de sûreté connexes est effectué : 1° par des personnes physiques ou par des personnes morales de droit public ou de droit privé pour autant que la gestion de leurs propres contentieux l'exige;ou 2° par des avocats ou d'autres conseils juridiques, pour autant que la défense de leurs clients l'exige;ou 3° par d'autres personnes lorsque le traitement est nécessaire pour des motifs d'intérêt public important pour l'accomplissement de tâches d'intérêt général confiées par ou en vertu d'une loi, d'un décret, d'une ordonnance ou du droit de l'Union européenne;ou 4° pour les nécessités de la recherche scientifique, historique ou statistique ou à des fins d'archives;ou 5° si la personne concernée a autorisé explicitement et par écrit le traitement de ces données à caractère personnel pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités;ou 6° si le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée, de sa propre initiative, pour une finalité ou plusieurs finalités spécifiques et si leur traitement est limité à ces finalités. § 2. Le responsable du traitement et, le cas échéant, le sous-traitant établissent une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente. Le responsable du traitement et, le cas échéant, le sous-traitant veillent à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. CHAPITRE III. - Limitations aux droits de la personne concernée Art. 11.§ 1er. En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement, ne s'appliquent pas aux traitements de données à caractère personnel émanant directement ou indirectement des autorités visées au titre 3, à l'égard : 1° des autorités et personnes visées aux articles 14, 16 et 19 de la loi du 30 novembre 1998Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer organique des services de renseignement et de sécurité auxquelles ces données ont été transmises directement ou indirectement par les autorités visées au titre 3;2° des autorités et personnes visées à l'article 2, alinéa 1er, 2°, de la loi du 10 juillet 2006Documents pertinents retrouvés type loi prom. 10/07/2006 pub. 20/07/2006 numac 2006009570 source service public federal justice Loi relative à l'analyse de la menace type loi prom. 10/07/2006 pub. 20/07/2006 numac 2006009569 source service public federal justice Loi modifiant la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignements et les articles 323bis et 327bis du Code judiciaire type loi prom. 10/07/2006 pub. 07/09/2006 numac 2006009653 source service public federal justice Loi relative à la procédure par voie électronique fermer relative à l'analyse de la menace ainsi que celles mentionnées à l'article 44/11/3ter §§ 2 et 3, et à l'article 44/11/3quater de la loi du 5 août 1992Documents pertinents retrouvés type loi prom. 05/08/1992 pub. 21/10/1999 numac 1999015203 source ministere des affaires etrangeres, du commerce exterieur et de la cooperation internationale Loi portant approbation du Protocole modifiant l'article 81 du Traité instituant l'Union économique Benelux du 3 février 1958, fait à Bruxelles le 16 février 1990 fermer sur la fonction de police, et qui relèvent du champ d'application du titre 1er, et auxquelles ces données ont été transmises. § 2. Le responsable du traitement visé au présent titre qui est en possession de telles données ne les communique pas à la personne concernée à moins que : 1° la loi l'y oblige dans le cadre d'une procédure contentieuse;ou 2° l'autorité visée au titre 3 concernée l'y autorise. Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il est en possession de données émanant des autorités visées au titre 3. § 3. Les limitations visées au paragraphe 1er portent également sur la journalisation des traitements d'une autorité visée au titre 3 dans les banques de données des responsables du traitement visés par le présent titre auxquelles l'autorité a directement accès. § 4. Le responsable de traitement visé au présent titre qui traite les données émanant directement ou indirectement des autorités visées au titre 3 répond au minimum aux conditions suivantes : 1° il adopte des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;2° il adopte des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres du personnel du responsable de traitement qui traitent les données visées à l'alinéa 1er sont en outre tenus au devoir de discrétion. § 5. Lorsque l'autorité de contrôle visée dans la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer4 portant création de l'Autorité de protection des données est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, l'autorité de contrôle s'adresse au Comité permanent R pour qu'il fasse les vérifications nécessaires auprès de l'autorité visée au titre 3. Après réception de la réponse du Comité permanent R, l'Autorité de protection des données n'informe la personne concernée que des résultats de la vérification portant sur les données à caractère personnel n'émanant pas des autorités visées au titre 3 que l'autorité de contrôle est légalement tenue de communiquer. Si la requête ou la plainte ne porte que sur des données à caractère personnel émanant d'une autorité visée au titre 3, l'Autorité de protection des données répond, après réception de la réponse du Comité permanent R, que les vérifications nécessaires ont été effectuées. Art. 12.En application de l'article 23 du Règlement, un responsable du traitement qui communique des données à caractère personnel à une autorité visée aux sous-titres 2 et 4 du titre 3 de la présente loi n'est pas soumis aux articles 14.1.e. et 15.1.c. du Règlement et à l'article 20, § 1er, 6°, de la présente loi et ne peut informer la personne concernée de cette transmission. Art. 13.Lorsqu'une autorité visée aux sous-titres 1er et 6 du titre 3 dispose d'un accès direct ou d'une interrogation directe à une banque de données du secteur public ou du secteur privé, ses traitements de données à caractère personnel dans cette banque de données sont protégés par des mesures de sécurité techniques, organisationnelles et individuelles de sorte que seuls les acteurs suivants puissent accéder au contenu de ces traitements pour assurer leurs missions légales de contrôle : 1° le délégué à la protection des données du responsable du traitement de la banque de données;2° le délégué à la protection des données de l'autorité visée aux sous-titres 1 et 6 du titre 3;3° le responsable du traitement de la banque de données ou son délégué;4° le responsable du traitement de l'autorité visée aux sous-titres 1 et 6 du titre 3;5° toute autre personne précisée dans un protocole entre les responsables du traitement, pour autant que l'accès s'inscrive dans l'exercice des missions légales de contrôle des délégués à la protection des données et des responsables du traitement. Les mesures de sécurité mentionnées à l'alinéa 1er visent à protéger les obligations légales portant sur la protection des sources, la protection de l'identité de leurs agents ou la discrétion des enquêtes des autorités visées aux sous-titres 1 et 6 du titre 3. Elles sont mises à la disposition de l'autorité de contrôle compétente. Ces traitements ne peuvent être accessibles pour d'autres finalités que celles liées au contrôle que si ces finalités sont consignées dans un protocole d'accord par les responsables du traitement concernés parmi les finalités déterminées par ou en vertu d'une loi. Le protocole d'accord désigne la ou les personnes dont l'accès aux journaux est nécessaire pour remplir chaque finalité autorisée à l'alinéa 3. Les journaux et les mesures de sécurité mentionnées à l'alinéa 1er sont mis à la disposition du Comité permanent R. L'autorité visée au titre 3 concernée peut déroger à l'alinéa 1er lorsque l'accès à ses traitements dans une banque de données et aux journaux n'est pas susceptible de porter atteinte aux intérêts visés à l'alinéa 2. Art. 14.§ 1er. En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement ne s'appliquent pas aux traitements de données émanant directement ou indirectement des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises, et de l'Unité d'information des passagers visés au titre 2, à l'égard : 1° des autorités publiques, dans le sens de l'article 5 de la présente loi, auxquelles les données ont été transmises par ou en vertu de la loi, d'un décret ou d'une ordonnance;2° d'autres organes et des organismes auxquelles les données ont été transmises par ou en vertu d'une loi, d'un décret ou d'une ordonnance. § 2. Le responsable du traitement visé au présent titre qui est en possession de données visées au paragraphe 1er ne les communique pas à la personne concernée à moins que : 1° la loi l'y oblige dans le cadre d'une procédure contentieuse;ou que 2° les autorités judiciaires, les services de police, l'Inspection générale de la police fédérale et de la police locale, la Cellule de Traitement des Informations Financières, l'Administration générale des douanes et accises, et l'Unité d'information des passagers visés au paragraphe 1er, chacun pour les données les concernant, l'y autorisent. Le responsable du traitement ou l'autorité compétente ne fait aucune mention qu'il est en possession de données émanant de ceux-ci. § 3. Les limitations visées au paragraphe 1er portent également sur la journalisation des traitements des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises et de l'Unité d'information des passagers dans les banques de données des responsables du traitement visés au présent titre auxquelles ceux-ci ont directement accès. Ces limitations ne s'appliquent qu'aux données traitées initialement pour les finalités visées à l'article 27 de la présente loi. § 4. Les garanties légales visées à l'article 23.2 du Règlement auxquelles les autorités publiques, organes ou organismes doivent répondre sont déterminées par ou en vertu de la loi. Les autorités publiques, organes ou organismes qui traitent les données émanant directement ou indirectement des autorités judiciaires, des services de police, de l'Inspection générale de la police fédérale et de la police locale, de la Cellule de Traitement des Informations Financières, de l'Administration générale des douanes et accises et de l'Unité d'information des passagers répondent au minimum aux conditions suivantes : 1° ils adoptent des mesures techniques ou organisationnelles appropriées pour assurer que l'accès aux données et les possibilités de traitement soient limités à ce dont les personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;2° ils adoptent des mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification ou tout autre traitement non autorisé de ces données. Les membres des autorités publiques, organes ou organismes qui traitent les données visées au § 1er sont en outre tenus au devoir de discrétion. § 5. Toute demande portant sur l'exercice des droits visés aux articles 12 à 22 du Règlement, adressée à une autorité publique, organe et organisme mentionné au § 1er, 1° en 2°, est transmise dans les meilleurs délais à l'Autorité de protection des données visée à la loi du 3 décembre 2017Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer4 portant création de l'Autorité de protection des données. Lorsque l'Autorité de protection des données est saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, elle procède aux vérifications nécessaires auprès des autorités, organes ou organismes concernés. Lorsque l'Autorité de protection des données a été saisie par la personne concernée, elle informe la personne concernée selon les modalités légales prévues. § 6. Lorsque le traitement porte sur des données initialement traitées par les services de police ou l'Inspection générale de la police fédérale et de la police locale, l'Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, s'adresse à l'autorité de contrôle visée à l'article 71 pour qu'elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents. Lorsque l'Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l'autorité visée à l'article 71, l'Autorité de protection des données informe la personne concernée selon les modalités légales prévues. § 7. Lorsque le traitement porte sur des données initialement traitées par les autorités judiciaires, l'Autorité de protection de données saisie directement par la personne concernée ou par le responsable du traitement qui fait état de l'application du présent article, s'adresse à l'autorité de contrôle compétente pour les autorités judiciaires pour qu'elle réalise les vérifications nécessaires auprès des autorités, organes ou organismes compétents, visés au § 1er, 1° et 2° . Lorsque l'Autorité de protection des données a été saisie par la personne concernée, après réception de la réponse de l'autorité de contrôle compétente pour les autorités judiciaires, l'Autorité de protection des données informe la personne concernée selon les modalités légales prévues. Art. 15.En application de l'article 23 du Règlement, les articles 12 à 22 et 34 du Règlement, ainsi que le principe de transparence du traitement visé à l'article 5 du Règlement, ne s'appliquent pas aux traitements de données à caractère personnel par l'Unité d'information des passagers, tels que visés au chapitre 7 de la loi du 25 décembre 2016Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer2 relative au traitement des données des passagers. Le responsable du traitement ne communique pas les données visées à l'alinéa 1er à la personne concernée à moins que la loi l'y oblige dans le cadre d'une procédure contentieuse. Le responsable du traitement ne fait aucune mention à la personne concernée qu'il est en possession de données la concernant. Les limitations visées à l'alinéa 1er portent également sur la journalisation des traitements effectués par l'Unité d'information des passagers dans les banques de données des responsables du traitement visés par le présent titre. Lorsque l'autorité de contrôle compétente est saisie d'une requête ou d'une plainte où le responsable du traitement fait état de l'application du présent article, l'autorité de contrôle répond uniquement que les vérifications nécessaires ont été effectuées. Art. 16.Lorsque les données à caractère personnel figurent dans une décision judiciaire ou un dossier judiciaire, ou font l'objet d'un traitement lors d'une enquête judiciaire et d'une procédure pénale, les droits visés aux articles 12 à 22 et 34 du Règlement sont exercés conformément au Code judiciaire, au Code d'instruction criminelle, aux lois particulières relatives à la procédure pénale ainsi qu'aux arrêtés d'exécution. Art. 17.En application de l'article 23 du Règlement, un responsable du traitement visé au présent titre qui communique des données à caractère personnel à une banque de données conjointe ne peut informer la personne concernée de cette transmission. Par "banque de données conjointe", on entend l'exercice commun des missions effectuées dans le cadre du titre 1er et des titres 2 ou 3 par plusieurs autorités, structurée à l'aide de procédés automatisés et appliqués aux données à caractère personnel. CHAPITRE IV. - Responsable du traitement et sous-traitant Section 1re. - Disposition générale Art. 18.En exécution de l'article 43 du Règlement, les organismes de certification sont accrédités conformément à la norme EN-ISO/IEC 17065 et aux exigences supplémentaires établies par l'autorité de contrôle par l'organisme national d'accréditation désigné conformément au Règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil. Section 2. - Secteur public Art. 19.La présente section est applicable aux services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer organisant un service de police structuré organisé à deux niveaux, qui sont considérés comme une seule autorité publique. Art. 20.§ 1er. Sauf autre disposition dans des lois particulières, en exécution de l'article 6.2 du Règlement, l'autorité publique fédérale qui transfert des données à caractère personnel sur la base de l'article 6.1.c) et e), du Règlement à toute autre autorité publique ou organisation privée, formalise cette transmission pour chaque type de traitement par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données. Ce protocole peut prévoir notamment : 1° l'identification de l'autorité publique fédérale qui transfère les données à caractère personnel et celle du destinataire;2° l'identification du responsable du traitement au sein de l'autorité publique qui transfère les données et au sein du destinataire;3° les coordonnées des délégués à la protection des données concernés au sein de l'autorité publique qui transfère les données ainsi que du destinataire;4° les finalités pour lesquelles les données à caractère personnel sont transférées;5° les catégories de données à caractère personnel transférées et leur format;6° les catégories de destinataires;7° la base légale du transfert;8° les modalités de communication utilisée;9° toute mesure spécifique encadrant le transfert conformément au principe de proportionnalité et aux exigences de protection des données dès la conception et par défaut;10° les restrictions légales applicables aux droits de la personne concernée;11° les modalités des droits de la personne concernées auprès du destinataire;12° la périodicité du transfert;13° la durée du protocole;14° les sanctions applicables en cas de non- respect du protocole, sans préjudice du titre 6. § 2. Le protocole est adopté après les avis respectifs du délégué à la protection des données de l'autorité publique fédérale détenteur des données à caractère personnel et du destinataire. Ces avis sont annexés au protocole. Lorsqu'au moins un de ces avis n'est pas suivi par les responsables du traitement, le protocole mentionne, en ses dispositions introductives, la ou les raisons pour laquelle ou lesquelles cet ou ces avis n'ont pas été suivis. § 3. Le protocole est publié sur le site internet des responsables du traitement concernés. Art. 21.En exécution de l'article 37.4 du Règlement, un organisme privé qui traite des données à caractère personnel pour le compte d'une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données à caractère personnel désignent un délégué à la protection des données lorsque le traitement de ces données peut engendrer un risque élevé tel que visé à l'article 35 du Règlement. Art. 22.Lorsque le traitement de données à caractère personnel peut engendrer un risque élevé tel que visé à l'article 35 du Règlement, l'autorité publique fédérale demande préalablement au traitement l'avis du délégué à la protection des données. Lorsque l'autorité publique fédérale poursuit la mise en oeuvre de ce traitement contrairement à l'avis et aux recommandations du délégué à la protection des données, il motive sa décision. La motivation indique les raisons du non-suivi de l'avis ou des recommandations. Art. 23.En exécution de l'article 35.10 du Règlement, une analyse d'impact spécifique de protection des données est effectuée avant l'activité de traitement, même si une analyse d'impact générale relative à la protection des données a déjà été réalisée dans le cadre de l'adoption de la base légale. CHAPITRE V. - Traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire Art. 24.§ 1er. On entend par traitement de données à caractère personnel à des fins journalistiques la préparation, la collecte, la rédaction, la production, la diffusion ou l'archivage à des fins d'informer le public, à l'aide de tout média et où responsable du traitement s'impose des règles de déontologie journalistique. § 2. Les articles 7 à 10, 11.2, 13 à 16, 18 à 20 et 21.1 du Règlement ne s'appliquent pas aux traitements de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire. § 3. Les articles 30.4, 31, 33 et 36 du Règlement ne s'appliquent pas aux traitements à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire lorsque leur application compromettrait une publication en projet ou constituerait une mesure de contrôle préalable à la publication d'un article. § 4. Les articles 44 à 50 du Règlement ne s'appliquent pas aux transferts de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire vers des pays tiers ou à des organisations internationales dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et la liberté d'expression et d'information. § 5. L'article 58 du Règlement ne s'applique pas aux traitements de données à caractère personnel effectués à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire lorsque son application fournirait des indications sur les sources d'information ou constituerait une mesure de contrôle préalable à la publication d'un article. TITRE 2. - De la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces CHAPITRE Ier. - Dispositions générales Art. 25.Le présent titre transpose la directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil. Art. 26.Pour l'application du présent titre, on entend par : 1° "données à caractère personnel" : toute information se rapportant à une personne physique identifiée ou identifiable, ci-après dénommée "personne concernée";est réputée "identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; 2° "traitement" : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction des données;3° "limitation du traitement" : le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur;4° "profilage" : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;5° "pseudonymisation" : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;6° "fichier" : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;7° "autorités compétentes" : a) les services de police au sens de l'article 2, 2°, de la loi du 7 décembre 1998Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer organisant un service de police intégré, structuré à deux niveaux;b) les autorités judiciaires, entendues comme les cours et tribunaux du droit commun et le ministère public;c) le Service d'enquêtes du Comité permanent de contrôle des services de police dans le cadre de ses missions judiciaires telles que prévues à l'article 16, alinéa 3, de la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;d) l'Inspection générale de la police fédérale et de la police locale, visée à l'article 2 de la loi du 15 mai 2007Documents pertinents retrouvés type loi prom. 15/05/2007 pub. 15/06/2007 numac 2007000560 source service public federal interieur Loi sur l'Inspection générale et portant des dispositions diverses relatives au statut de certains membres des services de police type loi prom. 15/05/2007 pub. 06/10/2008 numac 2008000813 source service public federal interieur Loi sur l'Inspection générale et portant des dispositions diverses relatives au statut de certains membres des services de police. - Traduction allemande fermer sur l'Inspection générale et portant des dispositions diverses relatives au statut de certains membres des services de police;e) l'Administration générale des douanes et accises, dans le cadre de sa mission relative à la recherche, la constatation et la poursuite des infractions déterminée par la loi générale du 18 juillet 1977 sur les douanes et accises et par la loi du 22 avril 2003Documents pertinents retrouvés type loi prom. 22/04/2003 pub. 08/05/2003 numac 2003003277 source service public federal finances et service public federal justice Loi octroyant la qualité d'officier de police judiciaire à certains agents de l'Administration des douanes et accises type loi prom. 22/04/2003 pub. 12/07/2012 numac 2012203621 source service public federal interieur Loi octroyant la qualité d'officier de police judiciaire à certains agents de l'Administration des douanes et accises. - Traduction allemande fermer octroyant la qualité d'officier de police judiciaire à certains agents de l'Administration des douanes et accises;f) l'Unité d'information des passagers, visée au chapitre 7 de la loi du 25 décembre 2016Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer2 relative au traitement des données des passagers;g) la Cellule de traitement des informations financières visée à l'article 76 de la loi du 18 septembre 2017Documents pertinents retrouvés type loi prom. 07/12/1998 pub. 05/01/1999 numac 1998021488 source services du premier ministre Loi organisant un service de police intégré, structuré à deux niveaux fermer3 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l'utilisation des espèces;h) le Service d'enquêtes du Comité permanent de contrôle des services de renseignement dans le cadre de ses missions judiciaires telles que prévues à l'article 40, alinéa 3, de la loi organique du 18 juillet 1991 du contrôle des services de police et de renseignement et de l'Organe de coordination pour l'analyse de la menace;8° "responsable du traitement" : l'autorité compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.Lorsque les finalités et les moyens de ce traitement sont déterminés par la loi, le décret ou l'ordonnance, le responsable du traitement est l'entité désignée comme responsable du traitement par ou en vertu de cette loi, ce décret ou cette ordonnance; 9° "sous-traitant" : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ou d'un autre sous-traitant;10° "destinataire" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément à la loi, au décret ou à l'ordonnance, ne sont pas considérées comme des destinataires; le traitement de ces données par ces autorités publiques est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement. 11° "brèche de sécurité" : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;12° "données génétiques" : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou la santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;13° "données biométriques" : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;14° "données concernant la santé" : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris les données à caractère personnel concernant la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;15° "autorité de contrôle" : l'autorité publique indépendante chargée par la loi de surveiller l'application du présent titre;16° "organisation internationale" : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord;17° "accord international" : tout accord international bilatéral ou multilatéral en vigueur entre les Etats membres de l'Union européenne et des pays tiers dans les domaines de la coopération judiciaire et/ou de la coopération policière. Art. 27.Le présent titre s'applique aux traitements de données à caractère personnel effectués par les autorités compétentes aux fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. CHAPITRE II. - Principes de traitement Art. 28.Les données à caractère personnel sont : 1° traitées de manière licite et loyale;2° collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d'une manière incompatible avec ces finalités;3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;4° exactes et, si nécessaire, mises à jour;toutes les mesures raisonnables sont prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder; 5° conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;6° traitées de façon à garantir la sécurité des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées. Art. 29.§ 1er. Le traitement ultérieur, par le même ou par un autre responsable du traitement, pour l'une des finalités énoncées à l'article 27, autre que celles pour lesquelles les données ont été collectées, est autorisé aux conditions suivantes : 1° le responsable du traitement est autorisé à traiter ces données à caractère personnel pour une telle finalité conformément à la loi, au décret ou à l'ordonnance, au droit de l'Union européenne ou à l'accord international;et 2° le traitement est nécessaire et proportionné conformément, à la loi, au décret ou à l'ordonnance au droit de l'Union européenne ou à l'accord international. § 2. Les données à caractère personnel ne peuvent pas être traitées ultérieurement par le même ou un autre responsable du traitement à d'autres fins que celles pour lesquelles les données à caractère personnel ont été collectées, et non comprises dans les finalités énoncées à l'article 27, à moins que cette finalité ne soit permise conformément à la loi, au décret, à l'ordonnance, au droit de l'Union européenne ou à l'accord international. § 3. Lorsque la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international, soumet le traitement à des conditions spécifiques, l'autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l'obligation de les respecter. § 4. Les autorités compétentes qui transmettent les données aux destinataires dans les autres Etats membres de l'Union européenne ne peuvent faire appliquer des conditions spécifiques supplémentaires à celles applicables aux transferts de données nationaux. § 5. Le responsable du traitement est responsable du respect du présent article et est en mesure de le démontrer. Art. 30.Sauf dans les cas où la durée maximale de conservation des données est déterminée dans le droit de l'Union européenne ou l'accord international qui est à la base de la conservation concernée, la loi, le décret, ou l'ordonnance détermine la durée maximale de conservation. A l'échéance de cette durée, les données sont effacées. Par dérogation à l'alinéa 1er, la loi, le décret ou l'ordonnance peut prévoir qu'à l'échéance d'un premier délai de conservation, une analyse soit effectuée sur la base de différents critères de nécessité et de proportionnalité afin de déterminer si la conservation des données doit être maintenue et, le cas échéant, le nouveau délai de conservation. Dans ce cas, la loi, le décret ou l'ordonnance prévoit un délai maximum de conservation. Art. 31.Le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que : 1° les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;2° les personnes reconnues coupables d'une infraction pénale;3° les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale;4° les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l'une des personnes visées aux 1° et 2°. Art. 32.§ 1er. Les données à caractère personnel fondées sur des faits sont dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles. § 2. Les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. A cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations nécessaires permettant à l'autorité compétente destinataire de juger de l'exactitude, de l'exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour. § 3. S'il s'avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l'article 39. Art. 33.§ 1er. Le traitement est licite si : 1° il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente pour les finalités énoncées à l'article 27;et 2° s'il est fondé sur une obligation légale ou réglementaire. § 2. L'obligation légale ou réglementaire régit au moins les catégories de données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement. Art. 34.§ 1er. Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, n'est autorisé qu'en cas de nécessité absolue et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement dans l'un des cas suivants : 1° lorsque le traitement est autorisé par la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international;2° lorsque le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d'une autre personne physique;3° lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée. § 2. Les garanties nécessaires visées au paragraphe 1er prévoient au moins que l'autorité compétente ou le responsable de traitement établisse une liste des catégories de personnes, ayant accès aux données à caractère personnel avec une description de leur fonction par rapport au traitement des données visées. Cette liste est tenue à la disposition de l'autorité de contrôle compétente. L'autorité compétente veille à ce que les personnes désignées soient tenues, par une obligation légale ou statutaire, ou par une disposition contractuelle équivalente, au respect du caractère confidentiel des données visées. Art. 35.Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est autorisée si la loi, le décret, l'ordonnance, le droit de l'Union européenne ou l'accord international fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement. Tout profilage qui entraîne une discrimination à l'égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l'article 34 est interdit. CHAPITRE III. - Droits de la personne concernée Art. 36.§ 1er. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée à l'article 37 ainsi que pour procéder à toute communication au titre des articles 35, 38 à 41 et de l'article 62 d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande. § 2. Le responsable du traitement facilite l'exercice des droits conférés à la personne concernée par les articles 35 et 38 à 41. § 3. Le responsable du traitement, ou l'autorité de contrôle dans le cas visé à l'article 41, informe par écrit, dans les meilleurs délais, la personne concernée des suites données à sa demande. § 4. Toute personne a le droit d'obtenir sans frais les informations visées à l'article 37 ainsi que toute mesure au titre des articles 35, 38 à 41 et 62. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut : 1° exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées;ou 2° refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande. § 5. Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité de la personne physique présentant la demande visée à l'article 38 ou 39, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Art. 37.§ 1er. Afin de permettre à la personne concernée d'exercer son droit à l'information, le responsable du traitement met à la disposition de la personne concernée les informations suivantes : 1° l'identité et les coordonnées du responsable du traitement;2° le cas échéant, les coordonnées du délégué à la protection des données;3° les finalités du traitement;4° le droit d'introduire une plainte auprès de l'autorité de contrôle et les coordonnées de ladite autorité;5° l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel le concernant;6° la base juridique du traitement;7° la durée de conservation des données à caractère personnel ou, lorsque cela n'est pas possible, les critères utilisés pour déterminer cette durée;8° le cas échéant, les catégories de destinataires des données à caractère personnel;9° si besoin est, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l'insu de la personne concernée. § 2. L'information visée au paragraphe 1er, peut être retardée, limitée ou exclue par la loi dès lors qu'une telle mesure constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour : 1° éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;2° éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;3° protéger la sécurité publique;4° protéger la sécurité nationale;5° protéger les droits et libertés d'autrui. § 3. Sauf dans les cas où le droit de l'Union européenne ou l'accord international le détermine, la loi, le décret ou l'ordonnance peut déterminer quelles catégories de traitements peuvent relever, dans leur intégralité ou en partie, d'un des points énumérés au paragraphe 2. § 4. Les droits visés au présent chapitre, pour ce qui concerne les traitements de données des cours et tribunaux de droit commun et du ministère public, sont exercés exclusivement dans les limites et conformément aux règles et modalités précisées dans le Code judiciaire, le Code d'instruction criminelle, les lois particulières relatives à la procédure pénale et leurs arrêtés d'exécution. Art. 38.§ 1er. Afin de permettre à la personne concernée d'exercer son droit à demander l'accès à ses données personnelles, le responsable du traitement met à la disposition de la personne concernée, les informations suivantes : 1° la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées ainsi que l'accès à ces données;2° les finalités du traitement ainsi que sa base juridique;3° les catégories de données à caractère personnel concernées;4° les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées;5° la durée de conservation ou, lorsque cela n'est pas possible, les critères utilisés pour déterminer cette durée;6° l'existence du droit de demander au responsable du traitement, la rectification ou l'effacement des données à caractère personnel qui la concernent, ou la limitation du traitement des données à caractère personnel qui la concernent;7° le droit d'introduire une plainte auprès de l'autorité de contrôle et les coordonnées de cette autorité;8° les données à caractère personnel en cours de traitement, ainsi que toute information disponible quant à leur source. § 2. La loi, le décret ou l'ordonnance peut limiter entièrement ou partiellement le droit d'accès de la personne concernée, dès lors et aussi longtemps qu'une telle limitation partielle ou totale constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour : 1° éviter de gêner des enquêtes, des recherches, des procédures pénales ou autres procédures réglementées;2° éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales;3° protéger la sécurité publique;4° protéger la sécurité nationale;5° protéger les droits et libertés d'autrui. § 3. Dans les cas visés au paragraphe 2 le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus éventuel ou de toute limitation d'accès éventuelle, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 2. Le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'autorité de contrôle compétente ou de former un recours juridictionnel. § 4. Le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'autorité de contrôle compétente. Art. 39.§ 1er. La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification, et éventue …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.