23. 11. 95 Journal officiel des Communautes europeennes N° L 281/31
DIRECTIVE 95/46/CE DU PARLEMENT EUROPEEN ET DU CONSEIL
du 24 octobre 1995
relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel et a la libre circulation de ces donnees
LE PARLEMENT EUROPEEN ET LE CONSEIL DE L'UNION EUROPEENNE,
vu le traite instituant la Communaute europeenne, et notamment son article 100 A,
vu la proposition de la Commission (1 ),
vu l'avis du Comite economique et social (2),
statuant conformement a la procedure visee a !'article 189 B du traite eJ,
(1)
(2)
considerant que les objectifs de la Communaute, enonces dans le traite, tel que modifie par le traitc sur !'Union europeenne, consistent a realiser une union sans cesse plus etroite entre les peuples europeens, a etablir des relations plus etroites entre les Etats que la Communaute reunit, a assurer par une action commune le progres economique et social en eliminant les barrieres qui divisent !'Eu- rope, a promouvoir l'am6lioration constante des conditions de vie de ses peuples, a preserver et conforter la paix et la liberte, et a promouvoir la democratie en se fondant sur les droits fondamen- taux reconnus dans les constitutions et les lois des Etats membres, ainsi que dans la convention euro- peenne de sauvegarde des droits de l'homme et des libertes fondamentales;
considerant que les systemes de traitement de don- nees sont au service de l'homme; qu'ils doivent, queUe que soit la nationalite ou la residence des personnes physiques, respecter les libertes et droits fondamentaux de ces personnes, notamment la vie privee, et contribuer au progres economique et social, au developpement des echanges ainsi qu'au bien-etre des individus;
(3) considerant que l'etablissement et le fonctionne- ment du marche interieur dans lequel, conforme-
e) JO n° C 277 du 5. 11.1990, p. 3. JO n° C 311 du 27. 11. 1992, p. 30.
e) JO n° C 159 du 17. 6. 1991, p. 38. e) Avis du Parlement europeen du 11 mars 1992 (JO n° C 94
du 13. 4. 1992, p. 198), confirme le 2 decembre 1993 (JOn" C 342 du 20. 12. 1993, p. 30); position commune du Conseil du 20 fevrier 1995 (JO n° C 93 du 13. 4. 1995, p. 1) et decision du Parlement europeen du 15 juin 1995 (JO n° C 166 du 3. 7. 1995).
(4)
(5)
(6)
(7)
ment a !'article 7 A du traite, la libre circulation des marchandises, des personnes, des services et des capitaux est assuree, necessitent non seulement que des donnees a caractere personnel puissent circuler librement d'un Etat membre a l'autre, mais egalement que les droits fondamentaux des person- nes soient sauvegardes;
considerant que, dans la Communaute, il est fait de plus en plus frequemment appel au traitement de donnees a caractere personnel dans les divers domaines de l'activite economique et sociale; que les progres des technologies de !'information facili- tent considerablement le traitement et l'echange de ces donnees;
considerant que !'integration cconomique et sociale resultant de l'etablissement et du fonctionnement du marche interieur au sens de !'article 7 A du traite va necessairement entrainer une augmenta- tion sensible des flux transfrontaliers de donnees a caractere personnel entre tous les acteurs de Ia vie economique et sociale des Etats membres, que ces acteurs soient prives ou publics; que l'echange de donnees a caractere personnel entre des entreprises etablies dans des Etats membres differents est appele a se developper; que les administrations des f~tats membres sont appelees, en application du droit communautaire, a collaborer et a echanger entre elles des donnees a caractere personnel afin de pouvoir accomplir leur mission ou executer des taches pour le compte d'une administration d'un autre f~tat membre, dans le cadre de l'espace sans frontieres que constitue le marchc interieur;
considerant, en outre, que le renforcement de Ia cooperation scientifique et technique ainsi que. la mise en place coordonnee de nouveaux reseaux de telecommunications dans la Communaute necessi- tent et facilitent Ia circulation transfrontaliere de donnees a caractere personnel;
considerant que les differences entre Etats membres quant au niveau de protection des droits et libertes des personnes, notamment du droit a Ia vie privee, a l'egard des traitements de donnees a caractere personnel peuvent empecher la transmission de ces donnees du territoire d'un Etat membre a celui d'un autre Etat membre; que ces differences pen- vent des lors constituer un obstacle a l'exercice d'une serie d'activites economiques a l'echelle com- munautaire, fausser la concurrence et empecher les administrations de s'acquitter des responsabilites qui leur incombent en vertu du droit communau-
No L 281/32 Journal officiel des Communautes europeennes 23. 11. 95
taire; que ces differences de niveau de protection resultent de la disparite des dispositions nationales legislatives, reglementaires et administratives;
(8) considerant que, pour eliminer les obstacles <l la circulation des donnees a caractere personnel, le niveau de protection des droits et libertes des personnes a l'egard du traitement de ces donnees doit etre equivalent dans taus les :Etats membres; que cet objectif, fondamental pour le marche inte- rieur, ne peut pas etre atteint par la seule action des f~tats membres, compte tenu en particulier de l'ampleur des divergences qui existent actuellement entre les legislations nationales applicable<> en la matiere et de la necessite de coordonner lcs legisla- tions des Etats membres pour que le flux trans- frontalier de donnees a caractere personnel soit rcglcmente d'une maniere coherente et conforme a l'objectif du marche interieur au sens de !'article 7 A du traite; qu'une intervention de Ia Commu- naute visant a un rapprochement des legislations est done necessaire;
(9) considerant que, du fait de Ia protection equivalen- te resultant du rapprochement des legislations nationales, les Etats membres ne pourront plus faire obstacle a la libre circulation entre eux de donnees a caractere personnel pour des raisons relatives a la protection des droits et libertes des personnes, notamment du droit a Ia vie privee; que les hats membres disposeront d'une marge de manceuvre qui, dans le contexte de Ia mise en (euvre de Ia directive, pourra etre utilisee par les partenaires economiques et sociaux; qu'ils pour- rom done preciser, dans leur legislation nationale, Ies conditions generales de liceite du traitement des donnees; que, ce faisant, les hats membres s'effor- ceront d'ameliorer Ia protection assuree actuelle- ment par leur legislation; que, dans les limites de cette marge de manceuvre et conformement au droit communautaire, des disparites pourront se produire dans la mise en ceuvre de la directive et que cela pourra avoir des incidences sur Ia circula- tion des donnees tant a l'interieur d'un Etat mem- hre que dans Ia Communaute;
(10) considerant que l'objet des legislations nationales relatives au traitement des donnees a caractere personnel est d'assurer le respect des droits et libertes fondamentaux, notamment du droit a la vie privee reconnu egalement dans !'article 8 de la convention curopeenne de sauvegarde des droits de l'homme et des libertes fondamentales et dans les principes generaux du droit communautaire; que, pour cette raison, le rapprochement de ces lt~gisla tions ne doit pas conduire a affaiblir Ia protection qu'elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau eleve de protection dans Ia Communaute;
(11) considerant que les principes de Ia protection des droits et des libertes des personnes, notamment du droit a Ia vie privee, contenus dans Ia presente directive precisent et amplifient ceux qui sont contenus dans Ia convention, du 28 janvier 1981, du Conseil de !'Europe pour Ia protection des personnes a l'egard du traitement automatise des donnees a caractcrc personnel;
(12) considerant que les principes de la protection doi- vent s'appliquer a tout traitement de donnees a caractere personnel des lors que les activites du responsable du traitement relevent du champ d'ap- plication du droit communautaire; que doit etre exclu le traitement de donnees effectue par une personne physique dans l'exercice d'activites exclu- sivement personnelles ou domestiques, telles Ia correspondance et Ia tenue de repertoires d'adres- ses;
(13) considerant que les activites v1sees aux titres V et VI du traite sur ]'Union europeenne concernant Ia securite publique, Ia defense, la surete de l'Etat ou les activites de l'I~tat dans le domaine penal ne relevent pas du champ d'application du droit com- munautaire, sans prejudice des obligations incom- bant aux Etats membres au titre de !'article 56 paragraphe 2 et des articles 57 et 100 A du traite; que le traitement de donnees a caractere personnel qui est necessaire a Ia sauvegarde du bien-etre economique de I'E,tat ne relcve pas de Ia presente directive lorsque ce traitement est lie a des ques- tions de surete de l'Etat;
(14) considerant que, compte tenu de ]'importance du developpement en cours, dans le cadre de Ia societe de ]'information, des techniques pour capter, trans- mettre, manipuler, enregistrer, conserver ou com- muniquer les donnees constituees par des sons et des images, relatives aux personnes physiques, Ia presente directive est appelee a s'appliquer aux traitements portant sur ces donnees;
(15) considerant que les traitements portant sur de telles donnees ne sont couverts par Ia presente directive que s'ils sont automatises ou si les donnees sur lesquelles ils portent sont contenues ou sont desti- nees a etre contenues dans un fichier structure selon des criteres specifiques relatifs aux personnes, afin de permettre un acces aisc aux donnees a caractere personnel en cause;
(16) considerant que les traitements des donnees consti- tuees par des sons et des images, tels que ceux de video-surveillance, ne relevent pas du champ d'ap- plication de la presente directive s'ils sont mis en ceuvre a des fins de securite publique, de defense, de surete de l'Etat ou pour l'exercice des activites de l'Etat relatives a des domaines du droit penal ou pour l'exercice d'autres activitcs qui ne relcvent pas du champ d'application du droit communautaire;
(17) considerant que, pour ce qui est des traitements de sons et d'images mis en ceuvre a des fins de
23. 11. 95 Journal officiel des Communautes europeennes N° L 281133
journalisme ou d'expression liw§raire ou artistique, notamment dans le domaine audiovisuel, les princi- pes de Ia directive s'appliquent d'une maniere res- treinte selon les dispositions prevues a !'article 9;
(18) considerant qu'il est necessaire, afin d'eviter qu'une personne soit exclue de la protection qui lui est garantic en vertu de la presente directive, que tout traitemcnt de donnees a caractere personnel effec- tue dans la Communaute respecte la legislation de l'un des Etats membres; que, a cet egard, il est opportun de soumcttre les traitements de donnees effectues par toute personne operant sous l'autoritc du responsable du traitement etabli dans un Etat membrc a !'application de la legislation de cet Etat;
(19) considerant que l'etablissement sur le territoire d'un Etat membre suppose l'exercice effectif et reel d'une activite au moyen d'une installation stable; que la forme juridique retenue pour un tel etablis- sement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalite juridique, n'est pas determinante a cet egard; que, lorsqu'un meme responsable est ctabli sur le territoire de plusieurs Etats membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'eviter tout contournement, que chacun des etablissements remplit les obligations prevues par le droit national applicable aux activites de chacun d'eux;
(20) considerant que l'etablissement, dans un pays tiers, du responsable du traitement de donnees ne doit pas fairc obstacle a la protection des personnes prevue par Ia presente directive; que, dans ce cas, il convient de soumettre les traitements de donnees effectucs a la loi de l'Etat membre dans lequel des moyens utilises pour le traitement de donnees en cause sont localises et de prendre des garanties pour que les droits et obligations prevus par la presente directive soient effectivement respectes;
(21) considerant que la presente directive ne prejuge pas des regles de territorialite applicables en matiere de droit penal;
(22) considerant que les Etats membres preciseront dans leur legislation ou lors de la mise en <ruvre des dispositions prises en application de la presente directive les conditions generales dans lesquelles le traitement de donnees est licite; que, en particulier, ]'article 5, en liaison avec les articles 7 et 8, permet aux Etats membres de prevoir, independamment des regles generales, des conditions particuliercs pour les traitements de donnees dans des secteurs specifiques et pour les differentes categories de donnees visees a !'article 8;
(23) considi-rant que les Etats membres sont habilites a assurer Ia mise en <ruvre de Ia protection des personnes, tant par une loi generale relative a Ia protection des personnes a l'egard du traitement des donnees a caractere personnel que par des lois
sectorielles telles que celles relatives par exemple aux instituts de statistiques;
(24) considerant que les legislations relatives a Ia pro- tection des personnes morales a l'egard du traite- ment des donnees qui les concernent ne sont pas affectees par Ia presente directive;
(25) considerant que les principes de la protection doi- vent trouver leur expression, d'une part, dans les obligations mises a la charge des personnes, autori- tes publiques, entreprises, agences ou autres orga- nismes qui traitent des donnees, ces obligations concernant en particulier la qualit{; des donnees, Ia securite technique, Ia notification a l'autorite de controle, les circonstances dans lesquelles le traite- ment peut etre effectue, et, d'autre part, dans les droits donnes aux personnes dont les donnees font )'objet d'un traitement d'etre informees sur celui-ci, de pouvoir acceder aux dotmees, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances;
(26) considerant que les principes de Ia protection doi- vent s'appliquer a toute information concernant une personne identifiee ou identifiable; que, pour determiner si une personne est identifiable, il convient de considerer ]'ensemble des moyens sus- ceptibles d'erre raisonnablement mis en <ruvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de Ia protection ne s'appliquent pas aux donnees rendues anonymcs d'une maniere telle que Ia personne concernee n'est plus identifiable; que les codes de conduite au sens de \'article 27 peu- vent etre un instrument utile pour fournir des indications sur les moyens par lesquels les donnees peuvent etre rendues anonymes et conservees SOliS une forme ne permettant plus )'identification de la personne concernee;
(27) considerant que la protection des personnes doit s'appliquer aussi bien au traitement de donnees automatise qu'au traitement manuel; que le champ de cette protection ne doit pas en effet dependre des techniques utilisees, sauf a creer de graves risques de detournement; que, toutefois, s'agissant du traitement manuel, Ia presente directive ne couvrc que les fichiers et ne s'applique pas aux dossiers non structures; que, en particulier, le contenu d'un fichier doit etre structure selon des criteres determines relatifs aux personnes permet- tant un acces facile aux donnees a caractere per- sonnel; que, conformcment a Ia definition figurant a !'article 2 point c), les diffcrents criteres permet- tant de determiner les elements d'un ensemble structure de donnees a caractere personnel et les differents criteres regissant l'acces a cet ensemble de donnees peuvem ctre definis par chaq ue Etat
N° L 281/34 Journal officiel des Communautes europeennes 23. 11. 95
membre; que les dossiers ou ensembles de dossiers, de meme que leurs couvertures, qui ne sont pas structures selon des criteres determines n'entrent en aucun cas dans le champ d'application de la pre- sente directive;
(28) considerant que tout traitement de donnees a caractere personnel doit etre effectue licitement et loyalement a l'egard des personnes concernees; qu'il doit, en particulier, porter sur des donnees adequates, pertinentes et non excessives au regard des finalites poursuivies; que ces finalites doivent ctre explicites et legitimes et doivent etre determi- nees lors de Ia collecte des donnees; que les finali- tes des traitements ulterieurs a Ia collecte ne peu- vent pas etre incompatibles avec les finalites telles que specifiees a l'origine;
(29) considerant que le traitement ulterieur de donnees acaractere personnel ades fins historiques, statisti- ques ou scientifiques n'est pas considere en general comme incompatible avec les finalites pour lesquel- les les donnees ont ete auparavant collectecs, dans Ia mesure ou les Etats membres prevoient des garanties appropriees; que ces garanties doivent notamment empecher ]'utilisation des donnees a l'appui de mesures ou de decisions prises a l'encon- tre d'une personne;
(30) considerant que, pour etre licite, un traitement de donnees a caractere personnel doit en outre etre fonde sur le consentement de la personne cancer- nee ou etre necessaire a la conclusion ou a ['execu- tion d'un contrat liant la personne concernee, ou au respect d'une obligation legale, ou a !'execution d'une mission d'interet public ou relevant de l'exer- cice de l'autorite publique, ou encore a la realisa- tion d'un interet legitime d'une personne a condi- tion que ne prevalent pas ['interet ou les droits et libertes de la personne concernee; que, en particu- lier, en vue d'assurer l'equilibre des interets en cause, tout en garantissant une concurrence effec- tive, les Etats membres peuvent preciser les condi- tions dans lesquelles des donnees a caractere per- sonnel peuvent etre utilisees et communiquees a des tiers dans le cadre d'activites legitimes de gestion courante des entreprises et autres organis- mes; que, de meme, ils peuvent preciser les condi- tions dans lesquelles la communication a des tiers de donnees a caractere personnel peut etre effec- tuee a des fins de prospection commercialc, ou de prospection faite par une association a but caritatif ou par d'autres associations ou fondations, par cxemple a caractere politique, dans le respect de dispositions visant a permettre aux personnes concernees de s'opposer sans devoir indiquer leurs motifs et sans frais au traitement des donnees les concernant;
(31) considerant qu'un traitement de donnees acaractere personnel doit etre egalement considere comme licite lorsqu'il est effectue en vue de proteger un interet essentiel a la vie de la personne concernee;
(32) considerant qu'il appartient aux legislations natio- nales de determiner si le responsable du traitement investi d'une mission d'interet public ou d'une mission relevant de l'exercice de l'autorite publique doit etre une administration publique ou une autre personne soumise au droit public ou au droit prive, telle qu'une association professionnelle;
(33) considerant que les donnees qui sont susceptibles par leur nature de porter atteinte aux libertes fondamentales ou a la vie privee ne devraient pas faire l'objet d'un traitement, sauf consentement explicite de la personne concernee; que, cependant, des derogations a cette interdiction doivent etre expressement prevues pour repondre a des besoins specifiques, en particulier lorsque le traitement de ces donnees est mis en reuvre a certaines fins relatives a la sante par des personnes soumises a une obligation de secret professionnel ou pour la realisation d'activites legitimes par certaines asso- ciations ou fondations dont l'objet est de permettrc l'exercice de libertes fondamentales;
(34) considerant que les :Etats membres doivent egale- ment etre autorises a deroger a ]'interdiction de traiter des categories de donnees sensibles lorsqu'un motif d'interet public important le justi- fie dans des domaines tels que la sante publique et la protection sociale - particulierement afin d'as- surer la qualite et la rentabilite en ce qui concerne les procedures utilisees pour regler les demandes de prestations et de services dans le regime d'assu- rance maladie - et tels que la recherche scientifi- que et les statistiques publiques; qu'illeur incombe, toutefois, de prevoir les garanties appropriees et specifiques aux fins de proteger les droits fonda- mentaux et la vie privee des personnes;
(35) considerant, en outre, que le traitement de donnees a caractere personnel par des autorites publiques pour la realisation de fins prevues par le droit constitutionnel ou le droit international public, au profit d'associations a caractere religieux officielle- ment reconnues, est mis en reuvre pour un motif d'interet public important;
(36) considerant que, si, dans le cadre d'activites liees a des elections, le fonctionnement du systeme demo- cratique suppose, dans certains Etats membres, que les partis politiques collectent des donnees relatives aux opinions politiques des personnes, le traite- ment de telles donnees peut etre autorise en raison de ]'interet public important, a condition que des garanties appropriees soient prevues;
(37) considerant que le traitement de donnees acaractere personnel a des fins de journalisme ou d'expression artistique ou litteraire, notamment dans le domaine audiovisuel, doit beneficier de derogations ou de limitations de certaines dispositions de la presente directive dans la mesure ou elles sont necessaires
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/35
a Ia conciliation des droits fondamentaux de Ia personne avec Ia liberte d'expression, et notam- ment Ia liberte de recevoir ou de communiquer des informations, telle que garantie notamment a }'arti- cle 10 de Ia convention europeenne de sauvegarde des droits de l'homme et des libertes fondamenta- les; qu'il incombe done aux Etats membres, aux fins de Ia ponderation entre les droits fondamen- taux, de prevoir les derogations et limitations necessaires en ce qui concerne les mesures generales relatives a la legalite du traitement des donnees, les mesures relatives au transfert des donnees vers des pays tiers ainsi que les competences des autorites de controle, sans qu'il y ait lieu toutefois de prevoir des derogations aux mesures visant a garantir Ia securite du traitement; qu'il convien- drait egalement de conferer au moins a l'autorite de controle competente en Ia matiere certaines competences a posteriori, consistant par exemple a publier periodiquement un rapport ou a saisir les autorites judiciaires;
(38) considerant que le traitement loyal des donnees suppose que les personnes concernees puissent connaitre !'existence des traitements et beneficier, lorsque des donnees sont collectees aupres d'elles, d'une information effective et complete au regard des circonstances de cette collecte;
(39) considerant que certains traitements portent sur des donnees que le responsable n'a pas collectees directement aupres de Ia personne concernee; que, par ailleurs, des donnees peuvent etre legitimement communiquees a un tiers, alors meme que cette communication n'avait pas ete prevue lors de la collecte des donnees aupres de la personne cancer- nee; que, dans toutes ces hypotheses, !'information de la personne concernee doit se faire au moment de !'enregistrement des donnees ou, au plus tard, lorsque les donnees sont communiquees pour la premiere fois a un tiers;
(40) considerant que, cependant, il n'est pas necessaire d'imposer cette obligation si la persoime concernee est deja informee; que, en outre, cette obligation n'est pas prevue si cet enregistrement ou cette communication sont expressement prevus par Ia loi ou si }'information de la personne concernee se revele impossible ou implique des efforts dispro- portionnes, ce qui peut etre le cas pour des traite- ments a des fins historiques, statistiques ou scienti- fiques; que, a cet egard, peuvent etre pris en consideration le nombre de personnes concernees, l'anciennete des donnees, ainsi que les mesures compensatrices qui peuvent etre prises;
(41) considerant que toute personne doit pouvoir bene- ficier du droit d'acces aux donnees la concernant qui font }'objet d'un traitement, afin de s'assurer notamment de leur exactitude et de Ia liceite de leur traitement; que, pour les memes raisons, toute personne doit en outre avoir le droit de connaitre la logique qui sous-tend le traitement automatise
des donnees la concernant, au moins dans le cas des decisions automatisees visees a l'article 15 paragraphe 1; que ce droit ne doit pas porter atteinte au secret des affaires ni a la propriete intellectuelle, notamment au droit d'auteur prote- geant le logiciel; que cela ne doit toutefois pas aboutir au refus de toute information de Ia per- sonne concernee;
(42) considerant que les Etats membres peuvent, dans !'interet de la personne concernee ou en vue de proteger les droits et libertes d'autrui, limiter les droits d'acces et d'information; qu'ils peuvent, par exemple, preciser que l'acces aux donnees a carac- tere medical ne peut etre obtenu que par l'interme- diaire d'un professionnel de la sante;
(43) considerant que des restrictions aux droits d'acces et d'information, ainsi qu'a certaines obligations mises a la charge du responsable du traitement de donnees, peuvent egalement etre prevues par les Etats membres dans la mesure ou elles sont neces- saires a la sauvegarde, par exemple, de Ia surete de l'Etat, de Ia defense, de la securite publique, d'un interet economique ou financier important d'un f~tat membre ou de l'Union europt~enne, ainsi qu'a la recherche et a la poursuite d'infractions penales ou de manquements a Ia deontologie des profes- sions reglementees; qu'il convient d'enumerer, au titre des exceptions et limitations, les missions de controle, d'inspection ou de reglementation neces- saires dans les trois derniers domaines precites concernant Ia securite publique, l'interet economi- que ou financier et la repression penale; que cette enumeration de missions concernant ces trois domaines n'affecte pas la U~gitimite d'exceptions et de restrictions pour des raisons de surete de l'"Etat et de defense;
(44) considerant que les :Etats membres peuvent etre amenes, en vertu de dispositions du droit commu- nautaire, a deroger aux dispositions de Ia presente directive concernant le droit d'acces, }'information des personnes et la qualite des donnees, afin de sauvegarder certaines finalites parmi celles visees ci-dessus;
(45) considerant que, dans le cas ou des donnees pour- raient faire l'objet d'un traitement licite sur le fondement d'un interet public, de l'exercice de l'autorite publique ou de )'interet legitime d'une personne, toute personne concern(~e devrait, toute- fois, avoir le droit de s'opposer, pour des raisons preponderantes et legitimes tenant a sa situation particuliere, a ce que les donnees la concernant fassent l'objet d'un traitement; que les Etats mem- bres ont, neanmoins, Ia possibilite de prevoir des dispositions nationales contraires;
(46) considerant que la protection des droits et libertes des personnes concernees a l'egard du traitement de donnees a caractere personnel exige que des
N° L 281/36 Journal officiel des Communautes europeennes 23. 11. 95
mesures techniques et d'organisation appropriees soient prises tant au moment de la conception qu'a celui de la mise en ~uvre du traitement, en vue d'assurer en particulier Ia securite et d'empecher ainsi tout traitement non autorise; qu'il incombe aux Etats membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de securite approprie tenant compte de l'etat de l'art et du cout de leur mise en ~uvre au regard des risques presentes par les traitements et de la nature des donnees a proteger;
(47) considerant que, lorsqu'un message contenant des donnees a caractere personnel est transmis via un service de telecommunications ou de courrier elec- tronique dotH le seul objet est de transmettre des messages de ce type, c'est la personne dont emane le message, et non celle qui offre le service de transmission, qui sera normalement consideree comme responsable du traitement de donnees a caractere personnel contenues dans le message; que, toutefois, les personnes qui offrent ces services seront normalement considerees comme responsa- bles du traitement des donnees a caractere person- nel supplementaires necessaires au fonctionnement du serviCe;
(48) considerant que Ia notification a l'autorite de controle a pour objet d'organiser la publicite des finalites du traitement, ainsi que de ses principales caracteristiques, en vue de son controle au regard des dispositions nationales prises en application de la prcsente directive;
(49) considerant que, afin d'eviter des formalites admi- nistratives inadequates, des exonerations ou des simplifications de Ia notification peuvent etre pre- vues par les Etats membres pour les traitements de donnees qui ne sont pas susceptibles de porter atteinte aux droits et libertes des personnes concer- nees, a condition qu'ils soient conformes a un acte pris par l'Etat membre qui en precise les limites; que des exonerations ou simplifications peuvent pareillemem etre prevues par les Etats memhres des lors qu'une personne designee par le responsable du traitement de donnees s'assure que lcs traite- ments effectues ne sont pas susceptibles de porter atteinte aux droits et libertes des personnes conccr- nces; que Ia personne ainsi detachee a la protection des donnees, employee ou non du responsable du traitement de donnees, doit etre en mesure d'exer- cer ses fonctions en toute independance;
(50) considerant que des exonerations ou simplifica- tions peuvent etre prevues pour le traitement de donnees dont le seul but est de tenir un registre destine, dans le respect du droit national, a )'infor- mation du public ct qui est ouvcrt a la consultation du public ou de toute personne justifiant d'un interet legitime;
(51) considerant que, neanmoins, le benefice de la sim- plification ou de )'exoneration de )'obligation de notification ne dispense le responsable du traite- ment de donnees d'aucune des autres obligations decoulant de la presente directive;
(52) considerant que, dans ce contexte, le controle a posteriori par les autorites competentes doit etre en general considere comme une mesure suffisante;
(53) considerant que, cependant, certains traitements sont susceptibles de presenter des risques particu- liers au regard des droits et des libertes des person- nes concernees, du fait de leur nature, de leur portee ou de leurs finalites telles que celle d'exclure des personnes du benefice d'un droit, d'une presta- tion ou d'un contrat, ou du fait de l'usage particu- lier d'une technologic nouvelle; qu'il appartient aux Etats membres, s'ils le souhaitent, de preciser dans leur legislation de tels risques;
(54) considerant que, au regard de tous les traitements mis en ceuvre dans la societe, le nombre de ceux presentant de tels risques particuliers devrait etre tres restreint; que les Etats membres doivent pre- voir, pour ces traitements, un examen prealable a leur mise en ceuvre, effectue par l'autorite de controle ou par le detache a la protection des donnees en cooperation avec celle-ci; que, a la suite de cet examen prealable, l'autorite de controle peut, selon le droit national dont elle releve, emet- tre un avis ou autoriser le traitement des donnees; qu'un tel examen peut egalement etre effectue au cours de !'elaboration soit d'une mesure legislative du Parlement national, soit d'une mesure fondee sur une telle mesure legislative, qui definisse la nature du traitement et precise les garanties appro- prices;
(55) considerant que, en cas de non-respect des droits des personnes concernees par le responsable du traitement de donnees, un recours juridictionnel doit etre prevu par les legislations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent etre repares par le responsable du traitement de donnees, lequel peut etre exonere de sa responsabilite s'il prouve que le fait dommageable nc lui est pas imputable, notamment lorsqu'il etablit )'existence d'une faute de la personne concernee ou d'un cas de force majeure; que des sanctions doivent etre appliquees a toute personne, tant de droit prive que de droit public, qui ne respecte pas les dispositions nationa- les prises en application de la presente directive;
(56) considerant que des flux transfrontaliers de don- nees a caractere personnel sont necessaires au deve- loppement du commerce international; que la pro- tection des personnes garantie dans la Communau- te par la presente directive ne s'oppose pas aux
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/37
transferts de donnees acaractere personnel vers des pays tiers assurant un niveau de protection ade- quat; que le caractere adequat du niveau de protec- tion offert par un pays tiers doit s'apprecier au regard de toutes les circonstances relatives a un transfert ou a une categoric de transferts;
(57) considerant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adequat, le transfert de donnees a caractere personnel vers ce pays doit etre interdit;
(58) considerant que des exceptions a cette interdiction doivent pouvoir etre prevues dans certaines cir- constances lorsque Ia personne concernee a donne son consentement, lorsque le transfert est necessai- re dans le contexte d'un contrat ou d'une action en justice, lorsque Ia sauvegarde d'un interet public important l'exige, par exemple en cas d'echanges internationaux de donnees entre les administra- tions fiscales ou douanieres ou entre les services competents en matiere de securite sociale, ou lors- que le transfert est effectue <l partir d'un registre etabli par Ia loi et destine a etrc consulte par lc public ou par des personnes ayant un interet legiti- me; que, dans ce cas, un tel transfert ne devrait pas porter sur Ia totalite des donnees ni sur des catego- ries de donnees contenues dans ce registre; que, lorsqu'un registre est destine a etre consulte par des personnes qui ont un interet legitime, le trans- fert ne devrait pouvoir etre effectue qu'a Ia demande de ces personnes ou lorsqu'elles en sont les destinataires;
(59) considerant que des mesures particulieres peuvent etre prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsa- blc du traitement presente des garanties appro- prices; que, en outre, des procedures de negocia- tion entre Ia C:ommunaute ct les pays tiers en cause doivent etre prevues;
(60) considerant que, en tout etat de cause, les trans- fens vcrs les pays tiers ne peuvent etre effectues que dans le plein respect des dispositions prises par les Etats membres en application de Ia presentc directive, et notamment de son article 8;
(61) considerant que les Etats membres et Ia Commis- sion, dans leurs domaines de competence respectifs, doivent encourager les milieux professionncls concernes a claborer des codes de conduite en vue de favoriser, compte tenu des specificites du traite- ment de donnees effectue dans certains secteurs, Ia mise en o=uvre de Ia presente directive dans lc respect des dispositions nationales priscs pour son application;
(62) considerant que !'institution, dans les Etats mem- bres, d'autorites de controle exen;ant en toute independance leurs fonctions est un element essen- tiel de la protection des personnes a l'egard du traitemcnt des donnees a caractere personnel;
(63) considerant que ces autontes doivent etre dotees des moyens necessaires a !'execution de leurs taches, qu'il s'agisse des pouvoirs d'investigation et d'intervention, en particulier lorsque les autorites sont saisies de reclamations, ou du pouvoir d'ester en justice; qu'elles doivent contribuer a Ia transpa- rence du traitement de donnees effectue dans l'Etat membre dont elles relevent;
(64) considerant que lcs autorites des differents Etats membres seront appelees a sc prcter mutuellement assistance dans Ia realisation de leurs taches afin d'assurer le plein respect des regles de protection dans !'Union europeenne;
(65) considerant que, au niveau communautaire, un groupe de travail sur Ia protection des personnes a l'egard du traitement des donnees a caractere per- sonnel doit etrc instaure et qu'il doit exercer ses fonctions en toute indepcndance; que, compte tenu de cette specificitt\ il doit conseiller Ia Commission et contribuer notammcnt a !'application homogene des regles nationales adoptees en application de Ia presente directive;
(66) considerant que, pour ce qui est du transfert de domH~es vers les pays tiers, !'application de Ia prescnte directive necessite !'attribution de compc- tences d'execution a Ia Commission et l'etablissc- ment d'une procedure scion les modalites fixees dans Ia decision 87/373/C:EE du C:onseil (1);
(67) considerant qu'un accord sur un modus uiuendi concernant les mesures d'execution des actes arrc- tes scion Ia procedure vist'C a !'article 189 B du traite est intervenu, le 20 decembre 1994, entre le Parlement europeen, lc Consci! et Ia ( :ommission;
(68) considerant que lcs pnnc1pes enonces dans Ia pre- sente directive ct regissant Ia protection des droits t"t des libertes des personnes, notamment du droit a Ia vic privee, a l'egard du traitement des donnees a caracterc personnel pourront ctre completes ou prccises, notamment pour certains secteurs, par des rcglcs specifiques conformes ;1 ces principes;
(69) considerant qu'il convient de laisscr aux Etats rnembres un delai ne pouvant pas cxceder trois ans a compter de !'entree en vigucur des mesures nationales de transposition de Ia presente directive, pour leur permcttre d'appliquer progressivement a tout traitement de donnees deja mis en '(ruvre lcs nouvelles dispositions nationales susv1sces; que,
( 1) JO n" L 197 du 18. 7. 1987, p. 33.
N° L 281/38 Journal officiel des Communautes europeennes 23. 11. 95
afin de permettre un bon rapport cout-efficacite lors de la mise en reuvre de ces dispositions, les Etats membres sont autorises a prevoir une pcriode supplementaire, expirant douze ans apres Ia date d'adoption de Ia presente directive, pour la mise en conformitc des fichiers manuels existants avec cer- taines dispositions de la directive; que, lorsque des donnees contenues dans de tels fichiers font l'objet d'un traitement manuel effectif pendant cettc pcrio- de transitoirc supplementaire, la mise en conformi- tc avec ces dispositions doit etre effectuce au moment de Ia realisation de ce traitement;
(70) considerant qu'il n'y a pas lieu que la personne concernee donne a nouveau son consentement pour permettre au responsable de continuer a effectuer, apres l'entree en vigueur des dispositions nationales prises en application de la presente
directive, un traitement de donnees sensibles neces- saire a !'execution d'un contrat conclu sur la base d'un consentement libre et informe avant !'entree en vigueur des dispositions precitees;
(71) considerant que la presente directive ne s'oppose pas ace qu'un Etat membre reglemente Ies activites de prospection commerciale visant les consomma- teurs qui resident sur son territoire, dans la mesure ou cette reglementation ne concerne pas la protec- tion des personnes a l'egard du traitement de donnees a caractcre personnel;
(72) considerant que la presente directive permet de prendre en compte, dans la mise en reuvre des regles qu'elle pose, le principe du droit d'acces du public aux documents administratifs,
ONT ARRETE LA PRESENTE DIRECTIVE:
C:I-IAPITRE PREMIER
DISPOSITIONS GENERALES
Article premier
Objet de la directive
1. Les Etats membres assurent, conformement a la pre- sente directive, Ia protection des libertes et droits fonda~ mentaux des personnes physiques, notamment de leur vie privee, a l'egard du traitement des donnees a caractere personnel.
2. Les f~tats membres ne peuvent restreindre ni interdire Ia libre circulation des donnees a caractere personnel entre !~tats membres pour des raisons relatives a la protection assurce en vertu du paragraphe 1.
Article 2
Definitions
Aux fins de la presente directive, on entend par:
a) «donnees a caractere personnel»: toute information concernant une personne physique identifiee ou iden- tifiable (personne concernee); est reputee identifiable une personne qui peut etre identifiee, directemcnt ou indirectement, notamment par reference a un numero d'identification ou a un ou plusieurs elements spccifi- ques, propres a son identite physique, physiologique, psychique, economique, culturelle ou sociale;
b) «traitement de donnees a caractere personnel» (traite- ment): toute operation ou ensemble d'operations effectuees ou non a l'aide de procedes automatises et
appliquees a des donnees a caractere personnel, telles que Ia collecte, !'enregistrement, !'organisation, Ia conservation, !'adaptation ou Ia modification, !'ex- traction, Ia consultation, !'utilisation, la communica- tion par transmission, diffusion ou toute autre forme de mise a disposition, le rapprochement ou l'intercon- nexion, air1si que le verrotiillage, !'effacement ou la destruction;
c) «fichier de donnees a caractere personnel» (fichier): tout ensemble structure de donnees a caractere per- sonnel accessibles selon des criteres determines, que cet ensemble soit centralise, decentralise ou reparti de maniere fonctionnelle ou geographique;
d) <<responsable du traitement>>: la personne physique ou morale, l'autorite publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, determine les finalites et les moyens du traitement de donnees a caractere personnel; lorsque les finalites et les moyens du traitement sont determines par des dispositions legislatives ou reglementaires nationales ou communautaires, lc responsable du traitement ou les criteres specifiques pour le designer peuvent etre fixes par le droit national ou communautaire;
e) <<sous-traitement»: la personne physique ou morale, l'autorite publique, le service ou tout autre organisme qui traite des donnees a caractere personnel pour le compte du responsable du traitement;
23. 11. 95 Journal officiel des Communautes europeennes No L 281/39
f) «tiers»: Ia personne physique ou morale, l'autorite publique, le service ou tout autre organisme autre que Ia personne concernee, le responsable du traitement, le sous-traitant et les personnes qui, placees sous l'autorite directe du responsable du traitement ou du sous-traitant, sont habilitees a traiter les donnees;
g) «destinataire»: la personne physique ou morale, l'au- torite publique, le service ou tout autre organisme qui re~oit communication de donnees, qu'il s'agisse ou non d'un tiers; les autorites qui sont susceptibles de recevoir communication de donnees dans le cadre d''une mission d'enquere particuliere ne sont toutefois pas considerees comme des destinataires;
h) «COnsentement de la personne concernee»: toute manifestation de volonte, libre, specifique et informee par laquelle la personne concernee accepte que des donnees a caractere personnel la concernant fassent l'objet d'un traitement.
Article 3
Champ d'application
1. La presente directive s'applique au traitement de donnees a caractere personnel, automatise en tout ou en partie, ainsi qu'au traitement non automatise de donnees a caractere personnel contenues ou appelees a figurer dans un fichier.
2. La presente directive ne s'applique pas au traitement de donnees a caractere personnel:
mis en reuvre pour l'exercice d'activites qui ne rele- vent pas du champ d'application du droit communau- taire, telles que celles prevues aux titres V et VI du traite sur l'Union europeenne, et, en tout etat de cause, aux traitements ayant pour objet la securite publique, Ia defense, la surete de l'Etat (y compris le bien-etre economique de l'Etat lorsque ces traitements
sont lies a des questions de surete de I'Etat) et les activites de l'Etat relatives a des domaines du droit penal,
effectue par une personne physique pour l'exercice d'activites exclusivement personnelks ou domesti- ques.
Article 4
Droit national applicable
1. Chaque Etat membre applique les dispositions natio- nales qu'il arrete en vertu de la presente directive aux traitements de donnees a caractere personnel lorsque:
a) le traitement est effectue dans le cadre des activites d'un etablissement du responsable du traitement sur le territoire de l'Etat membre; si un meme responsablc du traitement est ctabli sur le tcrritoirc de plusieurs Etats membres, il doit prendre les mesures necessaires pour assurer le respect, par chacun de ses etablisse- ments, des obligations prevucs par le droit national applicable;
b) le responsable du traitcmcnt n'est pas etabli sur le territoire de l'Etat membre mais en un lieu ou sa loi nationale s'applique en vcrtu du droit international public;
c) le responsable du traitement n'est pas etabli sur le territoire de la Communaute et recourt, a des fins de traitement de donnees a caractere personnel, a des moyens, automatises ou non, situes sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilises qu'a des fins de transit sur le tcrritoire de la Commu- naute.
2. Dans le cas vise au paragraphe 1 point c), le respon- sablc du traitement doit designer un representant etabli sur le territoire dudit hat mcmbre, sans prejudice d'ac- tions qui pourraient etre introduites contre le responsable du traitement lui-meme.
CHAPITRE II
CONDITIONS GENERALES DE LICEITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL
Article 5
Les Etats membres precisent, dans les limites des dispositions du present chapitre, lcs conditions dans lesquelles les traitements de donnees a caractere personnel sont licitcs.
No L 281140 Journal officiel des Communautes europeennes 23. 11. 95
SECTION I
PRINCIPES RELATIFS A LA. QUALITE DES DONNEES
Article 6
1. Les Etats membres prevoient que les donnees a carac- tcre personnel doivent etre:
a) traitees loyalement et licitement;
b) collectecs pour des finalites determinees, explicites et legitimes, et ne pas etre traitees ulterieurement de maniere incompatible avec ces finalites. Un traitement ulterieur a des fins historiques, statistiques ou scienti- fiques n'cst pas repute incompatible pour autant que les f~tats membres prevoient des garanties appro- pri(-es;
c) adequates, pertinentes et non excessives au regard des finalites pour lesquelles elles sont collectees et pour lesqucllcs elles sont traitees ulterieurement;
d) cxactes ct, si necessaire, mises a jour; toutes les mesures raisonnables doivent etre prises pour que les donnees inexactes ou incompletes, au regard des fina- lites pour lesquelles elles sont collectees ou pour lesquelles elles sont traitees ultcrieurement, soient effacees ou rectifiees;
c) conservecs sous une forme permettant I'identification des personncs concernees pendanr une duree n'exce- dant pas cclle neccssaire a Ia realisation des finalites pour lesquelles elles sont collectees ou pour lesquelles elks sont traitees ulterieurement. Les Etats membres pr(·voient des garanties appropriees pour les donnees a caractere personnel qui sont conservers au-dela de Ia periode precitee, a des fins historiques, statistiqucs ou scientifiques.
2. II incombe au responsable du traitement d'assurer lc respect du paragraphe 1.
SECTION II
PRINCIPES RELATIFS A LA LEGITIMATION DES TRAITE- MENTS DE DONNEES
Article 7
Les Etats membres prevoient que le traitemcnt de don- nees a caractere personnel ne peut etre effectue que si: a) Ia personne conccrnee a indubitablement donne son
consentemcnt
ou
b) il est necessatre a !'execution d'un contrat auqucl Ia pcrsonne concernee est partie ou a !'execution de mesures precontractuelles prises a Ia demande de cclle-ci
ou
c) il est necessatre au respect d'une obligation legale a laquellc le responsable du traitement est soumis
ou
d) il est necessaire a Ia sauvegarde de !'interet vital de Ia personne concernee
ou
e) il est necessaire a !'execution d'une missiOn d'interet public ou relevant de l'exercice de l'autorite publique, dont est investi le responsable du traitement ou le tiers auquel les donnees sont communiquees
ou
f) il est necessa1re a Ia realisation de !'interet legitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les donnees sont communiquees, a condition que ne prevalent pas ]'interet ou les droits et libertes fondamentaux de Ia personnc concernee, qui appellent une protection au titre de !'article 1'r paragraphe 1.
SECTION III
CATEGORIES PARTICULIERES DE TRAITEMENTS
Article 8
Traitements portant sur des categories particulicres de donnees
1. Les E.tats membres interdisent le traitement des don- nees acaracterc personnel qui revclent l'origine raciale ou ethnique, lcs opinions politiques, les convictions reli- gieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des donnees relatives a Ia sante et a L1 vic sexuclle.
2. Le paragraphe 1 ne s'applique pas lorsque:
a) Ia personne concernee a donne son consentement explicite a un tel traitement, sauf dans le cas ou Ia legislation de l'Etat membre prevoit que !'interdiction visee au paragraphe l ne peut ctre levee par k consentement de Ia personne concernee
ou
b) le traitement est necessa1re aux fins de respecter les obligations et les droits spt~cifiqucs du responsable du traitement en matiere de droit du travail, dans la mesure ou il est autorise par une legislation narionalc prcvoyant des garanties adequates
ou
c) le traitement est necessa1re a Ia defense des mterets vitaux de Ia personne concernee ou d'une autre per- sonne dans le cas ou Ia personne concernee se trouve dans l'incapacite physique ou juridique de donner son consentement
OU
d) le traitement est effectue dans le cadre de leurs activites legitimes et avec des garanties appropriees par une fondation, une association ou tout autre organisme a but non lucratif et a finalite politique, philosophique, religieusc ou syndicalc, a condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personncs entretenant avec lui des contacts reguliers lies a sa finalite et que les
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/41
donnees ne soient pas communiquees a des tiers sans le consentement des pcrsonnes concernees
Oil
e) le traitement porte sur des donnees manifestement rendues publiques par Ia personne concernee ou est necessaire a Ia constatation, a l'exercice ou a Ia ddense d'un droit en justice.
3. Le paragraphe 1 nc s'applique pas lorsque le traite- ment des donnees est neccssaire aux fins de Ia medecine preventive, des diagnostics medicaux, de ]'administration de soins ou dt> traitements ou de Ia gestion de services de sante et que k traitement de ces donnees est effectue par un praticien de la sante soumis par le droit national ou par des reglementations arretees par les autorites nationa- les competcntcs au secret professionnel, ou par une autre personne cgalement soumise a une obligation de secret equivalente.
4. Sous reserve de garanties appropriees, les f~tats mem- bres peuvent prevoir, pour un motif d'interet public important, des derogations autres que celles prevues au paragraphe 2, soit par leur legislation nationale, soit sur decis10n de l'autorite de controle.
S. Le traitement de donnees relatives aux infractions, aux condamnations penales ou aux mesures de surete ne peut ctre effl~Ctue que SOU5 Je contro)e de ]'autorite publique ou si des garanties appropriees et specifiques sont prevues par le droit national, sous reserve des derogations qui peuvent etre accordees par l'f~tat membrc sur la base de dispositions nationales prevoyant des garanties approprices et specifiques. Toutefois, un recueil exhaustif des condamnations penales ne peut ern:: tenu que sous le contrble de l'autorite publique.
Les Etats membres peuvent prev01r que les donnees relatives aux sanctions administratives ou aux jugements civils sont egalement traitees sous le controle de l'autoritc publique.
6. Les derogations au paragraphe 1 prevues aux para- graphes 4 et S sont notifiees a Ia Commission.
7. Les Etats membres determinent les conditions dans lesquelles un numero national d'identification ou tout autre identifiant de portee generale peut faire ]'objet d'un traitcment.
Article 9
Traitements de donnees a caractere personnel et libertc d'expression
Les Etats membres prevoient, pour les traitements de donnees a caractere personnel effectues aux seules fins de journalisme ou d'expression artistique ou litteraire, des exemptions et derogations au present chapitre, au chap1-
tre IV et au chapitre VI dans la seule mesure ou elles s'averent necessaires pour concilier It droit a la vie privee avec les regles rcgissant Ia liherte d'expression.
SECTION IV
INFORMATION DE LA PERSONNE CONCERNE£
Article 10
Informations en cas de collecte de donnees aupres de la personnc concernee
Les Etats membres prevoient que le responsable du traitement ou son representant doit fournir a la personne aupres de laquelle il collecre des donnees Ia concernant au moins les informations enumerees ci-dessous, sauf si Ia personne en est deja informee:
a) l'identite du responsable du traitement et, le cas echcant, de son representant;
b) les finalites du traitement auquel les donnees sont destinees;
c) route information supplementaire telle que:
lcs dcstinataires ou lts categories de destinataires des donnees,
Ie fait de savoir si la reponse aux questions est obligatoire ou facultative ainsi que les consequen- ces eventuelles d'un defaut de reponse,
l'existence d'un droit d'acccs aux donnees Ia concernant et de rectification de ces donnees,
dans la mesure ou, compte tenu des circonstances particulieres dans lesquellcs les donnees sont collec- tees, ces informations supplementaircs sont necessai- res pour assurer a l'c~gard de la personne concernce un traitement loyal des donnees.
Article 11
Informations lorsque lcs donnees n'ont pas ete collectees aupres de la pcrsonnc concernee
1. Lorsque lcs donnees n'ont pas ete collcctees aupres de la personne concernee, les trats memhrcs prevoient que le responsable du traitement ou son representant doit, des ]'enregistrement des donnees ou, si une communication de donnees a un tiers est envisagee, au plus tard lors de Ia premiere communication de donnees, fournir a la per- sonne concernee au moins les informations enumerees ci-dessous, sauf si Ia personne en est dej.a informee:
a) l'identitc du responsable du traitement et, le cas echeant, de son representant;
b) les finalites du traitement;
No L 281/42 Journal officiel des Communautes europeennes 23. 11. 95
c) route information supplementaire telle que:
les categories de donnees concernees,
les dcstinataires ou les categories de destinataires des donnees,
!'existence d'un droit d'acces aux donnees Ia concernant ct de rectification de ces donnees,
dans Ia mesure ou, compte tenu des circonstances particulieres dans lesquelles les donnees sont collec- tees, ces informations supplementaircs sont necessai- rcs pour assurer a l'egard de Ia personne conccrnee un traitement loyal des donnees.
2. Le paragraphc 1 ne s'applique pas lorsque, en parti- culicr pour un traitcment a finalite statistique ou de recherche historique ou scientifique, !'information de Ia personne concernee se revele impossible ou implique des efforts disproportionnes ou si Ia legislation prevoit cxpressement !'enregistrement ou Ia communication des donnees. Dans ces cas, les Etats membres prevoient des garanties approprices.
SECTION V
DROIT D'ACCES DE LA PERSONNE CONCERNEE AUX DONNEES
Article 12
Droit d'acces
Les Etats membres garantissent a route personne cancer- nee le droit d'obtenir du responsable du traitement:
a) sans contrainte, a des intervalles raisonnables et sans delais ou frais excessifs:
Ia confirmation que des donnees la concernant sont ou ne sont pas traitees, ainsi que des infor- mations portant au moins sur les finalites du traitcment, les categories de donnees sur lesquelles il porte et les destinataires ou les categories de destinataires auxquels lcs donnees sont communi- quees,
Ia communication, sous une forme intelligible, des donnees faisant !'objet des traitements, ainsi que de route information disponible sur l'origine des donnees,
Ia connaissance de Ia logique qui sous-tend tout traitement automatise des donnees la concernant, au moins dans le cas des decisions automatisees visecs a !'article 15 paragraphe 1;
b) selon le cas, Ia rectification, 1'effacement ou le ver- rouillage des donnees dont le traitement n'est pas conforme a la presente directive, notamment en raison du caractere incomplet ou inexact des donnees;
c) la notification aux tiers auxquels les donnees ont ere communiquees de route rectification, tout effacement ou tout verrouillagc effectue conformement au point b), si cela ne s'avere pas impossible ou ne suppose pas un effort disproportionne.
SECTION VI
EXCEPTIONS ET LIMITATIONS
Article 13
Exceptions et limitations
1. Les Etats membres peuvent prendre des mesures legis- latives visant a limiter Ia portee des obligations et des droits prevus a !'article 6 paragraphe 1' a !'article 10, a !'article 11 paragraphe 1 et aux articles 12 et 21, lorsqu'une telle limitation constitue une mesure necessaire pour sauvegarder:
a) Ia surete de l'Etat;
b) Ia defense;
c) la securite publiqu~;
d) Ia prevention, Ia recherche, la detection et la poursuite d'infractions penales ou de manquements a la deonto- logie dans le cas des professions reglementees;
e) un interet economique ou financier important d'un Etat membre ou de !'Union europeenne, y compris dans les domaines monetaire, budgetaire et fiscal;
f) une mission de contr()Je, d'inspection ou de reglemen- tation relevant, meme a titre occasionnel, de l'exercice de l'autorite publique, dans les cas vises aux points c), d) et e);
g) Ia protection de la personne concernee ou des droits et libertes d'autrui.
2. Sous reserve de garanties legales appropriees, excluant notamment que les donnees puissent etre utilisees aux fins de mesures ou de decisions se rapportant a des personnes precises, les F~tats membres peuvent, dans lc cas ou il n'existe manifestement aucun risque d'atteinte a Ia vie privee de Ia personne concernee, limiter par une mesure legislative les droits prevus a !'article 12 lorsque les donnees sont traitees exclusivement aux fins de la recherche scientifique ou sont stockees sous la forme de donnees a caractere personnel pendant une duree n'exce- dar1t pas celle necessaire a la seule finalite d'etablissement de statistiques.
SECTION VII
DROIT D'OPPOSITION DE LA PERSONNE CONCERNEE
Article 14
Droit d'opposition de la personne concernee
Les Etats membres reconnaissent a la personne concernee le droit:
a) au moins dans les cas vises a!'article 7 points e) et f), de s'opposer a tout moment, pour des raisons prepon- derantes et legitimes tenant a sa situation particuliere, a ce que des donnees la concernant fassent !'objet
23. 11. 95 Journal officiel des Communautes europeennes No L 281/43
d'un traitement, sauf en cas de disposition contraire du droit national. En cas d'opposition justifiee, le traitement mis en ~uvre par le responsable du traite- ment ne peut plus porter sur ces donnees;
b) de s'opposer, sur demande et gratuitement, au traite- ment des donnees a caractere personnel la concernant envisage par le responsable du traitement ades fins de prospection
ou
d'etre informee avant que des donnees a caractere personnel ne soient pour la premiere fois communi- quees a des tiers ou utilisees pour le compte de tiers a des fins de prospection et de se voir expressement offrir le droit de s'opposer, gratuitement, a ladite communication ou utilisation.
Les Etats membres prennent les mesures necessaires pour garantir que les personnes concernees ont connaissance de !'existence du droit vise au point b) premier alinea.
Article 15
Decisions individuelles automatisees
1. Les Etats rnembres reconnaissent a toute personne le droit de ne pas etre soumise a une decision produisant des effets juridiques a son egard ou l'affectant de maniere significative, prise sur le seul fondement d'un traitement automatise de donnees destine a evaluer certains aspects de sa personnalite, tels que son rendement professionnel, son credit, sa fiabilite, son comportement, etc.
2. Les Etats membres prevoient, sous reserve des autres dispositions de la presente directive, qu'une personne peut etre soumise a une decision telle que celle visee au paragraphe 1 si une telle decision:
a) est prise dans le cadre de la conclusion ou de !'execu- tion d'un contrat, a condition que la demande de conclusion ou d'execution du contrat, introduite par Ia personne concernee, ait ete satisfaite ou que des mesures appropriees, telles que la possibilite de faire valoir son point de vue, garantissent la sauvegarde de son interet legitime
ou
b) est autorisee par une loi qui preose les mesures garantissant la sauvegarde de !'interet legitime de Ia personne concernee.
SECTION VIII
CONFIDENTIALITE ET SECURITE DES TRAITEMENTS
Article 16
Confidentialite des traitements
Toute personne agissant sous l'autorite du responsable du traitement ou celle du sous-traitant, ainsi que le sous-
traitant lui-meme, qui accede a des donnees a caractere personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations legales.
Article 17
Securite des traitements
1. Les Etats membres prcvoient que le responsable du traitement doit mettre en ~uvre les mesures techniques et d'organisation appropriees pour proteger les donnees a caractere personnel contre la destruction accidentelle ou illicite, Ia perte accidentelle, !'alteration, la diffusion ou l'acces non autorises, notamment lorsque le traitement comporte des transmissions de donnees dans un reseau, ams1 que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l'etat de l'art et des COUtS lies a leur mise en ~uvre, un niveau de securite approprie au regard des risques presentes par le traitement et de la nature des donnees a proteger.
2. Les Etats membres prcvoient que le responsable du traitement, lorsque le traitement est effectue pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de securite technique et d'organisation relatives aux traitements a effectuer et qu'il doit veiller au respect de ces mesures.
3. La realisation de traitements en sous-traitance doit etre regie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prevoit notamment que:
le sous-traitant n'agit que sur Ia seule instruction du responsable du traitement,
les obligations visees au paragraphe 1, telles que definies par la legislation de l'Etat membre dans lequel le sous-traitant est etabli, incombent egalement a celui-ci.
4. Aux fins de la conservation des preuves, les elements du contrat ou de l'acte juridique relatifs a la protection des donnees et les exigences portant sur les mesures visees au paragraphe 1 sont consignes par ecrit ou sous une autre forme equivalente.
SECTION IX
NOTIFICATION
Article 18
Obligation de notification a1'autorite de controle
1. Les Etats membres prevoient que le responsable du traitement, ou le cas echeant son representant, doit
N° L 281/44 Journal officiel des Communautes europeennes 23. 11. 95
adresser une notification a )'autorite de contro)e VlSee a l'artide 28 prealablement a Ia mise en ceuvre d'un traite- ment entierement ou partiellement automatise ou d'un ensemble de tels traitements ayant une meme finalite ou des finalites liees.
2. Les hats membres ne peuvent prevoir de simplifica- tion de Ia notification ou de derogation a cette obligation que dans les cas et aux conditions suivants:
lorsque, pour lcs categories de traitement qui, compte tenu des donnees a traiter, ne sont pas susceptibles de porter atteinte aux droits et libertes des personnes conccrnccs, ils precisent les finalites des traitements, les donnees ou categories de donnees traitees, Ia ou les categories de personnes concernees, les dcstinatai- res ou categories de destinataires auxquels les donnees sont communiquces et Ia duree de conservation des donnees
et/ou
lorsque lc responsable du traitement designe, confor- mement au droit national auquel il est soumis, un detache a la protection des donnees a caractere per- sonnel charge notamment:
d'assurer, d'une maniere independante, )'applica- tion interne des dispositions nationalcs pnses en application de Ia presente directive,
de tenir un registre des traitements effectues par le rcsponsable du traitement, contenant les informa- tions visces a l'article 21 paragraphe 2,
et garantissant de Ia sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertes des pcrsonnes concernees.
3. Lcs E~tats membres peuvent prevcm que le para- graphe 1 nc s'applique pas aux traitements ayant pour seul objet la tenuc d'un registre qui, en vertu de disposi- tions lcgislatives ou reglementaires, est destine a )'infor- mation du public et est ouvert a Ia consultation du public ou de toute personne justifiant d'un interet legitime.
4. Les Etats membres peuvent prevoir une derogation a )'obligation de notification ou une simplification de Ia notification pour les traitements vises a !'article 8 para- graphe 2 point d).
5. Les Etats membres peuvent prevmr que les traite- ments non automatises de donnees a caractere personnel, ou certains d'cntrc eux, font )'objet d'une notification, cventuellemcnt simplifiee.
Article 19
Contenu de Ia notification
1. Les f~tats membres precisent les informations qw doivent figurer dans Ia notification. Ellcs comprenncnt au mmllTIUm:
a) le nom et l'adresse du responsable du traitement et, le cas echeant, de son representant;
b) Ia ou les finalites du traitement;
c) une description de Ia ou des categories de personnes concernees et des donnees ou des categories de don- nees s'y rapportant;
d) les destinataires ou les categories de destinataires auxquels les donnees sont susceptibles d'etre commu- mquees;
e) les transferts de donnees envisages a destination de pays tiers;
f) une description generale permettant d'apprecier de fa~on preliminaire le caractere approprie des mesures prises pour assurer Ia securite du traitement en appli- cation de l'artide 17.
2. Les f~tats membres precisent les modalites de notifica- tion a l'autorite de contr6le des changements affectant les informations visecs au paragraphe 1.
Article 20
Controlcs prealables
l. Les Etats membres preciscnt les traitements suscepti- bles de presenter des risques particuliers au regard des droits et libertcs des pcrsonnes concernees et veillent a cc que ces traitements soient examines avant leur mise en <ruvre.
2. De tels examens prealables sont effectues par l'autori- te de controle aprcs reception de Ia notification du responsable du traitement ou par le detache a Ia protec- tion des donnees, qui, en cas de doute, doit consulter l'autorite de controle.
3. Les hats membres peuvent aussi proceder a un tel cxamen dans le cadre de )'elaboration soit d'une mesurc du Parlement national, soit d'une mesure fondee sur unc telle mesure legislative, qui definisse Ia nature du traite- ment et fixe des garanties appropriees.
Article 21
Publicite des traitements
1. Les Etats membres prennent des mesures pour assurer Ia publicite des traitements.
2. Les f~tats membres prevoient que l'autorite de contro- le tient un registre des traitements notifies en vertu de !'article 18.
23. 11. 95 Journal officiel des Communautes europeennes No L 281/45
Le registre contient au minimum les informations enume- rees a l'article 19 paragraphe 1 points a) a e).
qui en fait la demande au moins les informations visees a !'article 19 paragraphe 1 points a) a e).
Le registre peut etre consulte par route personne.
3. En ce qui concerne les traitements non soumis a notification, les Etats membres prevoient que le responsa- ble du traitement ou une autre instance qu'ils designent communique sous une forme appropriee a route personne
Les Etats membres peuvent prevoir que la presente dispo- sition ne s'applique pas aux traitements ayant pour seul objet Ia tenue d'un registre qui, en vertu de dispositions legislatives ou reglementaires, est destine a !'information du public et est ouvert a Ia consultation du public ou de toute personne justifiant d'un interet legitime.
CHAPITRE III
RECOURS JURIDICTIONNELS, RESPONSABILITE ET SANCTIONS
Article 22
Recours
Sans prejudice du recours administratif qui peut etre organise, notamment devant l'autorite de controle visee a l'article 28, anterieurement a Ia saisine de l'autorite judiciaire, les Etats membres prevoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.
Article 23
Responsabilite
1. Les Etats membres prevoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la presente directive a le droit d'obtenir du responsable du traitement reparation du prejudice subi.
2. Le responsable du traitement peut etre exonere partiellement ou totalement de cette rcsponsabilite s'il prouve que le fait qui a provoque le dommage ne lui est pas imputable.
Article 24
Sanctions
Les Etats membres prennent les mesures appropnees pour assurer la pleine application des dispositions de la presente directive et determinent notamment les sanctions a appliquer en cas de violation des dispositions prises en application de la presente directive.
CHAPITRE IV
TRANSFERT DE DONNEES A CARACTERE PERSONNEL VERS DES PAYS TIERS
Article 25
Principcs
1. Les Etats membres prevoient que Je transfert vers un pays tiers de donnees a caractere personnel faisant l'objet d'un traitement, ou destinees a faire l'objet d'un traite- ment apres leur transfert, ne peut avoir lieu que si, sous reserve du respect des dispositions nationales prises en
application des autres dispositions de la presente direc- tive, le pays tiers en question assure un niveau de protection adequat.
2. Le caractere adequat du niveau de protection offert par un pays tiers s'apprecie au regard de routes les circonstances relatives a un transfert ou a une categorie
N° L 281/46 Journal officiel des Communautes europeennes 23. 11. 95
de transferts de donnees; en particulier, sont prises en consideration la nature des donnees, la finalite et la duree du ou des traitements envisages, les pays d'origine et de destination finale, les regles de droit, generales ou secto- rielles, en vigueur dans le pays tiers en cause, ainsi que les regles professionnelles et les mesures de securite qui y sont respectees.
3. Les Etats membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adequat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformement a la procedure prevue a !'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adequat au sens du paragraphe 2 du present article, les Etats mem- bres prennent les mesures necessaires en vue d'empecher tout transfert de meme nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des negociations en vue de remedier a la situation resultant de Ia constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformemcnt a la procedure prevue a !'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adequat au sens du paragraphe 2 du present article, en raison de sa legisla- tion interne ou de ses engagements internationaux, sous- crits notamment a l'issue des negociations visees au paragraphe 5, en vue de la protection de la vie privee et des libertes et droits fondamentaux des personnes.
Les Etats membres prennent les mesures necessaires pour se conformer a la decision de la Commission.
Article 26
Derogations
1. Par derogation a !'article 25 et sous reserve de dispo- sitions contraires de leur droit national regissant des cas particuliers, les Etats membres prevoient qu'un transfert de donnees a caractere personnel vers un pays tiers n'assurant pas un niveau de protection adequat au sens de l'article 25 paragraphe 2 peut etre effectue, <l condi- tion que:
a) la personne concernee ait indubitablement donne son consentement au transfert envisage
ou
b) le transfert soit necessalre a !'execution d'un contrat entre la personne concernee et le responsable du
traitement ou a !'execution de mesures precontrac- tuelles prises a la demande de la personne concernee
ou
c) le transfert soit necessaire a la conclusion ou a !'execution d'un contrat conclu ou a conclure, dans }'interet de la personne concernee, entre le responsable du traitement et un tiers
ou
d) le transfert soit necessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un interet public important, ou pour la constatation, l'exercice ou la defense d'un droit en justice
ou
e) le transfert soit necessaire a la sauvegarde de }'interet vital de la personne concernee
ou
f) le transfert intervienne au depart d'un registre public qui, en vertu de dispositions legislatives ou reglemen- taires, est destine a !'information du public et est ouvert a la consultation du public ou de toute per- sonne justifiant d'un interet legitime, dans la mesure ou les conditions legales pour la consultation sont remplies dans le cas particulier.
2. Sans prejudice du paragraphe 1, un Etat membre peut autoriser un transfert, ou un ensemble de transferts, de donnees a caractere personnel vers un pays tiers n'assu- rant pas un niveau de protection adequat au sens de !'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de Ia vie privee et des libertes et droits fondamentaux des personnes, ainsi qu'a l'egard de l'exer- cicc des droits correspondants; ces garanties peuvent notamment resulter de clauses contractuelles appro- prices.
3. L'f~tat membre informe la Commission et les autres f~tats membres des autorisations qu'il accorde en applica- tion du paragraphe 2.
En cas d'opposition exprimee par un autre Etat membre ou par la Commission et dument justifiee au regard de la protection de la vie privee et des libertes et droits fondamentaux des personnes, la Commission arrete les mesures appropriees, conformement a Ia procedure pre- vue a !'article 31 paragraphe 2.
Les Etats membres prennent les mesures necessaires pour se conformer a la decision de la Commission.
4. Lorsque Ia Commission decide, conformement a Ia procedure prevue a !'article 31 paragraphe 2, que certai- nes clauses contractuelles types presentent les garanties suffisantes visees au paragraphe 2, les Etats membres prennent les mesures necessaires pour se conformer a la decision de la Commission.
23. 11. 95 Journal officiel des Communautes europeennes N° L 281/47
CHAPITRE V
CODES DE CONDUITE
Article 27
1. Les Etats membres et Ia Commission encouragent !'elaboration de codes de conduite destines a contribuer, en fonction de Ia specificite des secteurs, a Ia bonne application des dispositions nationales prises par les Etats membres en application de Ia presente directive.
2. Les Etats membres prevoient que les associations professionnelles et les autres organisations representant d'autres categories de responsables du traitement qui ont elabore des projets de codes nationaux ou qui ont !'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre a l'examen de l'autorite nationale.
Les Etats membres prevoient que cette autorite s'assure, entre autres, de Ia conformite des projets qui lui sont soumis avec les dispositions nationales prises en application de Ia presente directive. Si elle l'estime opportun, l'autorite recueille les observations des personnes concernees ou de leurs representants.
3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent etre Soumis au groupe vise a !'article 29. Celui-ci se prononce, entre autres, sur Ia conformite des projets qui lui sont soumis avec les dispositions nationales prises en application de Ia presente directive. S'il l'estime opportun, il recueille les observations des personnes concernees ou de leurs representants. La Commission peut assurer une publicite appropriee aux codes qui ont ete approuves par le groupe.
CHAPITRE VI
AUTORITE DE CONTROLE ET GROUPE DE PROTECTION DES PERSONNES A L'EGARD DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL
Article 28
Autorite de controle
recueillir routes les informations necessaires a l'ac- complissement de sa mission de controle,
1. Chaque Etat membre prevoit qu'une ou plusieurs autorites publiques sont chargees de surveiller !'applica- tion, sur son territoire, des dispositions adoptees par les Etats membres en application de Ia presente directive.
de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis prealablement a Ia mise en ~uvre des traitements, conformement a !'arti- cle 20, et d'assurer une publication appropriee de ces avis ou celui d'ordonner le verrouillage, !'effacement ou Ia destruction de donnees, ou d'interdire temporai- rement ou definitivernent un traiternent, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parle- ments nationaux ou d'autres institutions politiques,
Ces autorites exercent en toute independance les missions dont elles sont investies.
2. Chaque Etat membre prevoit que les autontes de controle sont consultees lors de !'elaboration des mesures reglementaires ou administratives relatives a Ia protection des droits et libertes des personnes a l'egard du traite- ment de donnees a caractere personnel.
3. Chaque autorite de controle dispose notamment:
de pouvoirs d'investigation, tels que le pouvoir d'acce- der aux donnees faisant !'objet d'un traitement et de
du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de Ia presente directive ou du pouvoir de porter ces viola- tions a la connaissance de l'autorite judiciaire.
Les decisions de l'autorite de controle faisant grief peu- vent faire !'objet d'un recours juridictionnel.
No L 281148 Journal officiel des Communautes europeennes 23. 11. 95
4. Chaque autorite de controle peut etre saisie par toute personne, ou par une association Ia representant, d'une demande relative a Ia protection de ses droits et libertes a l'egard du traitement de donnees a caractere personnel. La personne concernee est informee des suites donnees a sa demande.
Chaque autorite de controle peut, en particulier, etre saisie par toute personne d'une demande de verification de Ia liceite d'un traitement lorsque les dispositions nationales prises en vertu de !'article 13 de Ia presente directive sont d'application. La personne est a tout le moins informee de ce qu'une verification a eu lieu.
5. Chaque autorite de controle etablit a intervalles regu- liers un rapport sur son activite. Ce rapport est publie.
6. Independamment du droit national applicable au trai- tement en cause, chaque autorite de controle a competen- ce pour exercer, sur le territoire de l'Etat membre dont elle releve, les pouvoirs dont elle est investie conforme- ment au paragraphe 3. Chaque autorite peut etre appelee a exercer ses pouvoirs sur demande d'une autorite d'un autre Fotat membre.
Les autorites de controle cooperent entre elles dans Ia mesure necessaire a l'accomplissement de leurs missions, notamment en echangeant toute information utile.
7. Les Etats membres prevoient que les membres et agents des autorites de controle sont soumis, y compris apres cessation de leurs activites, a !'obligation du secret professionnel a l'egard des informations confidentielles auxquelles ils ont acces.
Article 29
Groupe de protection des personnes a l'egard du traite- ment des donnees a caractere personnel
1. II est institue un groupe de protection des personnes a l'egard du traitement des donnees a caractere personnel, ci-apres denomme «groupe».
Le groupe a un caractere consultatif et independant.
2. Le groupe se compose d'un representant de l'autorite ou des autorites de controle designees par chaque Etat membre, d'un representant de l'autorite ou des autorites creees pour les institutions et organismes communautaires et d'un representant de la Commission.
Chaque membre du groupe est designe par !'institution, l'autorite ou les autorites qu'il represente. Lorsqu'un Etat membre a designe plusieurs autorites de controle, celles-ci procedent a la nomination d'un representant commun. II en va de meme pour les autorites creees pour les institu- tions et organismes communautaires.
3. Le groupe prend ses decisions a Ia majorite simple des representants des autorites de controle.
4. Le groupe elit son president. La duree du mandat du president est de deux ans. Le mandat est renouvelable.
5. Le secretariat du groupe est assure par la Commis- sion.
6. Le groupe etablit son reglement interieur.
7. Le groupe examine les questions mises a l'ordre du jour par son president, soit a !'initiative de celui-ci, soit a Ia demande d'un representant des autorites de controle ou de Ia Commission.
Article 30
1. Le groupe a pour miSSion:
a) d'examiner toute question portant sur la mise en ~uvre des dispositions nationales prises en applica- tion de Ia presente directive, en vue de contribuer a leur mise en ~uvre homogene;
b) de donner a Ia Commission un avis sur le niveau de protection dans Ia Communaute et dans les pays tiers;
c) de conseiller Ia Commission sur tout projet de modifi- cation de la presente directive, sur tout projet de mesures additionnelles ou specifiques a prendre pour sauvegarder les droits et libertes des personnes physi- ques a l'egard du traitement des donnees a caractere personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertes;
d) de donner un avis sur les codes de conduite elabores au niveau communautaire.
2. Si le groupe constate que des divergences, susceptibles de porter atteinte a !'equivalence de la protection des personnes a l'egard du traitement des donnees a caractere personnel dans Ia Communaute, s'etablissent entre les legislations et pratiques des Etats membres, il en informe Ia Commission.
3. Le groupe peut emettre de sa propre initiative des recommandations sur toute question concernant Ia pro- tection des personnes a l'egard du traitement de donnees a caractere personnel dans la Communaute.
4. Les avis et recommandations du groupe sont transmis a la Commission et au comite vise a l'article 31.
5. La Commission informe le groupe des suites qu'elle a donnees a ses avis et recommandations. Elle redige a cet
23. 11. 95 Journal officiel des Communautes europeennes No L 281/49
effet un rapport qui est transmis egalement au Parlement europeen et au Conseil. Ce rapport est publie.
ment des donnees a caractere personnel dans la Commu- naute et dans les pays tiers, qu'il communique a la Commission, au Parlement europeen et au Conseil. Ce rapport est publie.6. Le groupe etablit un rapport annuel sur l'etat de la
protection des personnes physiques a l'egard du traite-
CHAPITRE VII
MESURES D'EXECUTION COMMUNAUTAIRES
Article 31
Comite
1. La Commission est assistee par un comite compose des representants des Etats membres et preside par le representant de la Commission.
2. Le representant de Ia Commission soumet au comite un projet des mesures a prendre. Le comite emet son avis sur ce projet, dans un delai que le president peut fixer en fonction de l'urgence de la question en cause.
L'avis est emis a la majorite prevue a !'article 148 paragraphe 2 du traite. Lors des votes au sein du comite, les voix des representants des Etats membres sont affectees de la ponderation definie a !'article precite. Le president ne prend pas part au vote.
La Commission arrete des mesures qui sont immediatement applicables. Toutefois, si elles ne sont pas conformes a l'avis emis par le comite, ces mesures sont aussitot communiquees par la Commission au Conseil. Dans ce cas:
Ia Commission differe !'application des mesures decidees par elle d'un delai de trois mois a compter de Ia date de la communication,
le Conseil, statuant a Ia majorite qualifiee, peut prendre une decision differente dans le dt~lai prevu au premier tiret.
DISPOSITIONS FINALES
Article 32
1. Les Etats membres mettent en vigueur les dispositions legislatives, reglementaires et administratives necessaires pour se conformer a la presente directive au plus tard a l'issue d'une periode de trois ans a compter de son adoption.
Lorsque les Etats membres adoptent ces dispositions, celles-ci contiennent une reference a Ia presente directive ou sont accompagnees d'une telle reference lors de leur publication officielle. Les modalites de cette reference sont arretees par les :Etats membres.
2. Les Etats membres veillent a ce que les traitements dont Ia mise en o:uvre est anterieure a Ia date d'entree en vigueur des dispositions nationales prises en application de Ia presente directive soient rendus conformes a ces dispositions au plus tard trois ans apres cette date.
Par derogation a l'alinea precedent, les Etats membres peuvent prevoir que les traitements de donnees deja contenues dans des fichiers manuels a Ia date d'entree en vigueur des dispositions nationales prises en application de la presente directive seront rendus conformes aux articles 6, 7 et 8 de la presente directive dans un delai de douze ans a compter de Ia date d'adoption de celle-ci. Les Etats membres permettent toutefois a la personne cancer- nee d'obtenir, a sa demande et notamment lors de l'exercice du droit d'acces, la rectification, !'effacement ou le verrouillage des donnees incompletes, inexactes ou conservees d'une maniere qui est incompatible avec les fins legitimes poursuivies par le responsable du traite- ment.
3. Par derogation au paragraphe 2, les Etats membres peuvent prevoir, sous reserve des garanties appropriees, que les donnees conservees dans le seul but de la recher-
N° L 281/50 Journal officiel des Communautes europeennes 23. 11. 95
che historique ne soient pas rendues conformes aux articles 6, 7 et 8 de la presente directive.
4. Les Etats membres communiquent ala Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine regi par la presente directive.
Article 33
Periodiquement, et pour la premiere fois au plus tard trois ans apres la date prevue a !'article 32 paragraphe 1, la Commission fait un rapport au Parlement europeen et au Conseil sur !'application de la presente directive et l'assortit, le cas echeant, des propositions de modification appropriees. Ce rapport est publie.
La Commission examine, en particulier, !'application de Ia presente directive aux traitements de donnees consti-
tuees par des sons et des images, relatives aux personnes physiques, et elle presente les propositions appropriees qui pourraient s'averer necessaires en tenant compte des developpements de la technologic de }'information et a la lumiere de l'etat des travaux sur Ia societe. de }'informa- tion.
Article 34
Les Etats membres sont destinataires de la presente directive.
Fait a Luxembourg, le 24 octobre 1995.
Par le Parlement europeen
Le president
K. HANSCH
Par le Conseil
Le president
L. ATIENZA SERNA