f2002cm123






    |

    Délégués des Ministres
    Documents CM

    CM(2002)123 19 août 2002
    ——————————————

    808 Réunion, 18 septembre 2002
    10 Questions juridiques


    10.1 Projet de Recommandation Rec(2002)… du Comité des Ministres aux Etats membres sur la protection des données à caractère personnel collectées et traitées à des fins d’assurance

    ——————————————

    Projet de Recommandation Rec(2002)…
    du Comité des Ministres aux Etats membres
    sur la protection des données à caractère personnel collectées et traitées à des fins d’assurance

    (adoptée par le Comité des Ministres le …,
    lors de la … réunion des Délégués des Ministres)

    Préambule

    Le Comité des Ministres, en vertu de l’article 15.b du Statut du Conseil de l'Europe,

    1. Considérant que le but du Conseil de l'Europe est de réaliser une union plus étroite entre ses membres ;

    2. Rappelant les principes généraux relatifs à la protection des données de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108) et, notamment, son article 6 qui énonce que les données à caractère personnel qualifiées de sensibles ne peuvent être traitées à moins que le droit interne ne prévoie des garanties appropriées ;

    3. Conscient du fait que le traitement automatisé des données à caractère personnel à des fins d'assurance est de plus en plus répandu, non seulement à des fins de préparation, de conclusion, de mise en œuvre et de cessation de l'assurance, mais aussi à des fins de gestion rationnelle et économique de l'assurance, et de lutte contre la fraude ;

    4. Conscient du fait que les assurances sont fournies par une diversité d'acteurs économiques, notamment des entreprises d'assurance ;

    5. Convaincu de l'importance que la qualité, l'intégrité et la disponibilité des données à caractère personnel revêtent pour les personnes assurées ;

    6. Constatant que la quasi-totalité de la population des Etats membres est concernée par une ou plusieurs assurances et que, de ce fait, les professionnels de l’assurance disposent d'un volume important de données à caractère personnel, dont certaines sont sensibles ;

    7. Persuadé qu'il est souhaitable de réglementer la collecte et le traitement de données à caractère personnel à des fins d'assurance, d'en garantir le caractère confidentiel et la sécurité des données, et de veiller à ce qu'il en soit fait un usage respectant les droits et les libertés fondamentales des individus, notamment leur droit à la vie privée ;

    8. Tenant compte du fait que la mobilité des individus et la globalisation des marchés et des activités commerciales nécessitent un échange d'informations transfrontières également dans le secteur des assurances et requièrent une protection des données équivalente dans tous les Etats membres du Conseil de l'Europe,

    Recommande aux gouvernements des Etats membres :

    1. de prendre des mesures afin que les principes contenus dans l'annexe à la présente recommandation soient reflétés dans leur droit et leur pratique ;

    2. d'assurer une large diffusion des principes contenus dans l'annexe à la présente recommandation parmi les personnes, autorités publiques et organismes publics ou privés qui collectent et traitent des données à caractère personnel à des fins d'assurance, ainsi qu'auprès des instances compétentes en matière de protection des données ;

    3. de promouvoir l'acceptation et la mise en œuvre des principes et lignes directrices figurant à l'annexe à la présente recommandation, notamment en adoptant des dispositions légales ou en encourageant l’élaboration de codes d’éthique.

    Annexe à la Recommandation Rec(2002)…

    1. Définitions

    Aux fins de la présente recommandation :

    a. L'expression « données à caractère personnel » englobe toute information concernant une personne physique identifiée ou identifiable (« personne concernée »). Une personne physique n'est pas considérée comme « identifiable » si cette identification nécessite des délais et des activités déraisonnables.

    b. L'expression « données sensibles » recouvre les données à caractère personnel révélant l'origine raciale, les opinions politiques, les convictions religieuses ou autres convictions, ainsi que les données à caractère personnel relatives à la santé et à la vie sexuelle. Sont également considérées sensibles les données concernant les poursuites et les condamnations pénales, ainsi que les autres données définies comme sensibles par le droit interne.

    c. L'expression « à des fins d'assurance » se réfère à toute opération de collecte et de traitement de données à caractère personnel liées à la couverture d’un risque, notamment en vertu d’un contrat ou d’une police d’assurance.

    d. L'expression « traitement » recouvre toute opération ou ensemble d'opérations effectuées partiellement ou totalement à l'aide de procédés automatisés et appliqués à des données à caractère personnel, tels que l'enregistrement, la conservation ou la modification, l'extraction, la consultation, l'utilisation, la communication, l'appariement ou l'interconnexion, ainsi que l'effacement ou la destruction.

    e. Le terme « communication » désigne l'acte de rendre accessibles à des tiers des données à caractère personnel, quels que soient les moyens ou les supports utilisés.

    f. L'expression « responsable du traitement » comprend la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seuls ou avec la collaboration d'autres, déterminent les finalités et les moyens de la collecte et du traitement des données à caractère personnel.

    g. L’expression « sous-traitant » comprend la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traitent des données à caractère personnel pour le compte du responsable du traitement.

    2. Champ d'application

    2.1. La présente recommandation s'applique aux données à caractère personnel collectées et traitées à des fins d’assurance. Elle ne s’applique pas à la collecte et au traitement de données à caractère personnel utilisées à des fins de sécurité sociale.

    2.2. Les Etats membres sont encouragés à étendre l'application de la présente recommandation aux traitements non automatisés des données à caractère personnel à des fins d'assurance.

    2.3. Un traitement de données à caractère personnel ne devrait pas être effectué de manière non automatisée dans le but d'échapper aux dispositions de la présente recommandation.

    2.4. Les Etats membres peuvent étendre l'application des principes énoncés dans la présente recommandation également à la collecte et au traitement de données relatives aux groupements de personnes, associations, fondations, sociétés, corporations ou à tout autre organisme regroupant directement ou indirectement des personnes physiques et jouissant ou non de la personnalité juridique.

    2.5. Les Etats membres peuvent étendre l'application des principes de la présente recommandation à la protection des données à caractère personnel utilisées à des fins de sécurité sociale.

    3. Respect de la vie privée

    3.1. Le respect des droits et des libertés fondamentales, et, notamment, du droit à la vie privée doit être garanti lorsque des données à caractère personnel sont collectées et traitées à des fins d’assurance.

    3.2. Le droit et la pratique internes doivent soumettre à des règles de confidentialité les personnes qui, à l'occasion d'une activité d'assurance, ont connaissance de données à caractère personnel. En outre, la collecte et le traitement de données médicales ne doivent être effectués que par des professionnels de la santé ou moyennant le respect soit de règles de confidentialité comparables à celles incombant à un professionnel des soins de santé, soit des garanties d'efficacité égales prévues par le droit interne.

    4. Collecte et traitement des données à caractère personnel à des fins d’assurance

    Conditions essentielles pour la collecte et le traitement de données à caractère personnel

    4.1. La collecte et le traitement (y compris la communication) des données à caractère personnel devraient être effectués de manière loyale et licite, et à des fins déterminées et licites.

    Les données à caractère personnel devraient être :

    - adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont collectées ou pour lesquelles elles doivent être traitées ultérieurement ;

    - exactes et, si nécessaire, mises à jour.

    Source des données à caractère personnel

    4.2. Les données à caractère personnel collectées et traitées à des fins d’assurance devraient être collectées, en principe, auprès de la personne concernée ou de son représentant légal.

    Licéité

    4.3. Les données à caractère personnel peuvent être collectées et traitées à des fins d’assurance :

    a. si la loi le prévoit ;

    b. en vue de l’exécution d'un contrat d'assurance auquel la personne concernée est partie, ainsi que de la préparation d'un tel contrat à la demande de la personne concernée ;

    c. si la personne concernée ou son représentant légal ou une autorité ou toute personne ou instance désignée par la loi y a consenti, conformément au chapitre 6 ; ou

    d. si ces données sont nécessaires à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement, à condition que cet intérêt ne l’emporte pas sur ceux de la personne concernée.

    Finalité

    4.4. Sous réserve des dispositions relatives aux Principes 4.6 à 4.8, 8.1 et 13.1, les données à caractère personnel ne doivent être collectées et traitées qu'aux fins:

    a. de préparation et de fourniture d'une assurance ;
    b. de collecte des primes et d’autres facturations ;
    c. de règlement de demandes d'indemnisation ou d'autres prestations ;
    d. de réassurance ;
    e. de coassurance ;
    f. de prévention, de détection et/ou de poursuite des fraudes à l’assurance ;
    g. de constatation, d’exercice ou de défense d'un droit en justice ;
    h. de respect d'une autre obligation légale ou contractuelle spécifique ;
    i. de recherche de nouveaux marchés d’assurance ;
    j. de gestion interne ;
    k. d’activités d’actuariat.

    Ces données ne peuvent être traitées ultérieurement à des fins incompatibles avec le but originel de la collecte.

    Enfant à naître

    4.5. Les données à caractère personnel relatives à un enfant à naître devraient jouir d'une protection comparable à celles des données à caractère personnel d'un mineur.

    A moins que le droit interne n’en dispose autrement, le détenteur des responsabilités parentales peut agir en qualité de personne habilitée juridiquement à agir pour un enfant à naître en tant que personne concernée.

    Données sensibles

    4.6. La collecte et le traitement des données sensibles devraient être interdits sauf pour l'une des finalités énoncées aux Principes 4.4, 4.8, 8.1 et 13.1 :

    a. si la personne concernée ou son représentant légal ou une autorité ou toute autre personne ou instance désignée par la loi y a consenti explicitement, conformément au Chapitre 6 ; ou

    b. si la loi l'autorise et

    i. sous réserve de garanties appropriées, si le traitement est nécessaire aux fins du respect d’autres obligations légales ou contractuelles spécifiques du responsable du traitement ; ou

    ii. si le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ; ou

    iii. si le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;

    c. si, sous réserve de garanties appropriées, la collecte et le traitement sont prévus, pour un motif d'intérêt public important, soit par la loi, soit en vertu d’une décision d’une autorité au sens du Principe 15.1.

    Données pénales

    4.7. Par dérogation au Principe 4.6, la collecte et le traitement de données à caractère personnel relatives aux poursuites et aux condamnations pénales ne peuvent être effectués à des fins d’assurance que si des garanties appropriées et spécifiques sont prévues par le droit interne, et si les données sont nécessaires à la lutte contre la fraude à l’assurance, à l'octroi d'une assurance, au versement d'indemnisations ou à toute autre prestation.

    Marketing direct

    4.8. Pour autant que la personne concernée en ait été informée et ne s'y soit pas opposée, le responsable du traitement peut utiliser, à des fins de démarchage et de promotion de la gamme de services à sa disposition, les données collectées et enregistrées à des fins d'assurance. Cependant, si le traitement porte sur des données sensibles, le consentement explicite de la personne concernée est nécessaire, pour autant que le droit interne ne s'y oppose pas.

    La personne concernée devrait être informée du fait que son refus de consentement ou son opposition à l'utilisation de ses données pour les fins de démarchage et de promotion ne portera pas atteinte à la décision de lui fournir une couverture par l'assurance ou de bénéficier d'une couverture par l'assurance déjà accordée.

    5. Information de la personne concernée

    5.1. Les personnes concernées devraient être informées des éléments suivants :

    a. la ou les finalités pour lesquelles les données sont ou seront traitées ;

    b. l'identité du responsable du traitement ;

    c. toute autre information lorsqu’elle est nécessaire à la garantie du caractère loyal de la collecte, telle que :

    - les catégories de données collectées ou à collecter ;

    - les catégories de personnes ou d'organismes auxquels les données peuvent être communiquées et les objectifs de cette communication ;

    - la possibilité, le cas échéant, pour les personnes concernées de refuser leur consentement, de le retirer et les conséquences d'un tel retrait ;

    - les conditions d'exercice des droits d'accès et de rectification ;

    - les personnes ou les organismes auprès desquels les données sont ou seront collectées ;

    - le caractère obligatoire ou facultatif de la réponse aux questions qui font l’objet de la collecte et les conséquences à l’égard des personnes d’un défaut de réponse.

    5.2. Lorsque les données sont collectées auprès de la personne concernée, le responsable du traitement informe celle-ci, au plus tard au moment de la collecte, des éléments visés au Principe 5.1, sauf si elle en est déjà informée.

    5.3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, celle-ci devrait être informée par le responsable du traitement des éléments visés au Principe 5.1, dès l'enregistrement des données ou, si une communication des données à un tiers est envisagée, au plus tard lors de la première communication des données.

    L'obligation d'informer la personne concernée ne s'applique pas si :

    a. la personne concernée a déjà été informée ;

    b. la fourniture de l'information se révèle impossible ou implique des efforts disproportionnés ;

    c. le traitement ou la communication des données à des fins d'assurance sont expressément prévus par le droit interne.

    Dans les cas visés aux alinéas b et c des garanties appropriées doivent être prévues.

    5.4. L'information de la personne concernée doit être appropriée et adaptée aux circonstances.

    5.5. Si les personnes concernées sont des personnes juridiquement incapables et qu’elles ne sont pas en mesure de se déterminer librement, et si le droit interne ne leur permet pas d'agir en leur nom propre, l'information doit être donnée à la personne pouvant agir légalement dans l'intérêt des personnes concernées.

    5.6. L'information des personnes concernées peut être limitée si cela est prévu par la loi et constitue une mesure nécessaire à la prévention, à l’investigation ou la répression d'une infraction pénale ou à la sauvegarde des droits et libertés d'autrui.

    6. Consentement

    6.1. Lorsque le consentement de la personne concernée est requis, celui-ci doit être libre, spécifique et informé. Il doit en outre être indubitable ou, dans le cas de données sensibles, explicite.

    Toutefois, il peut y avoir des cas pour lesquels le droit interne ne permet pas que le consentement soit un fondement suffisant de la licéité d’une collecte ou d’un traitement.

    6.2. Lorsque des données à caractère personnel concernent des personnes juridiquement incapables et lorsque le droit interne ne permet pas à la personne concernée d'agir en son nom propre, le consentement du représentant légal ou d'une autorité ou de toute personne ou instance désignée par la loi est requis.

    6.3. Conformément au Principe 5.5, les personnes juridiquement incapables ayant été informées de l'intention de collecter et traiter des données les concernant, leurs souhaits devraient être pris en considération à moins que le droit interne ne s'y oppose.

    7. Collecte et traitement par un sous-traitant

    7.1 Conformément aux dispositions du droit interne, les responsables du traitement peuvent sous-traiter la collecte et le traitement des données à caractère personnel pour une finalité déterminée, pour autant qu'ils soient habilités à collecter et traiter ces données, et que le sous-traitant s'engage à n’agir que sous la seule instruction du responsable du traitement et à respecter les dispositions du droit interne donnant effet au chapitre 11 de l’annexe à la recommandation.

    7.2. Les responsables du traitement devraient choisir des sous-traitants qui apportent des garanties suffisantes au regard des mesures techniques et organisationnelles des traitements à effectuer. Ils doivent s'assurer du respect de ces mesures et, en particulier, de ce que les traitements soient conformes à leurs instructions.

    7.3. La collecte et le traitement de données à caractère personnel en sous-traitance doivent être régis par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement, et qui prévoit notamment que le sous-traitant n'agit que dans le seul cadre du mandat attribué par le responsable du traitement et des dispositions du droit interne relatives aux obligations du sous-traitant.

    8. Communication des données à d’autres fins

    8.1. La communication de données à caractère personnel à d'autres fins que celles énoncées au Principe 4.4 ne peut être effectuée que :

    a. si la communication est prévue par la loi et constitue une mesure nécessaire dans une société démocratique à la prévention, l’investigation et la répression des infractions pénales ou à la défense d’un autre intérêt public important ; ou

    b. si les personnes concernées ou leurs représentants légaux ou une autorité ou toute personne ou instance désignée par la loi y ont consenti, conformément au Chapitre 6 ; ou

    c. si la communication est effectuée à des fins de prospection, pour autant que la personne concernée en ait été informée et ne s’y soit pas opposée. Cependant, si la communication porte sur des données sensibles, le consentement explicite de la personne concernée serait nécessaire, conformément au Chapitre 6 ; ou

    d. si ces données sont nécessaires à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement, à condition que ne prévalent pas les intérêts de la personne concernée. Cependant, si la communication porte sur des données sensibles, le consentement explicite de la personne concernée serait nécessaire, conformément au chapitre 6.

    9. Décisions individuelles automatisées

    9.1. Les décisions d'assurance produisant des effets juridiques à l'égard des personnes concernées ou les affectant de manière significative ne devraient pas être prises sur le seul fondement d'un traitement automatisé de données, destiné à évaluer certains aspects de la personnalité des personnes concernées sur la base de critères préétablis ou de résultats statistiques.

    9.2. De telles décisions peuvent, toutefois, être prises si elles satisfont à une demande introduite par les personnes concernées en vue de la conclusion ou de l'exécution d'un contrat d'assurance ou si les personnes concernées sont admises à faire valoir leur point de vue afin de garantir la sauvegarde de leurs intérêts légitimes. De telles décisions peuvent également être prises si elles sont autorisées par une loi qui précise les mesures garantissant la sauvegarde de l’intérêt légitime de la personne concernée.

    10. Droits d'accès et de rectification

    10.1. Toute personne devrait, sur demande, pouvoir obtenir confirmation du fait que des données la concernant sont ou ne sont pas traitées, et, sous une forme intelligible, toutes ces données, de même que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles porte le traitement, les destinataires ou les catégories de destinataires auxquels les données sont communiquées et l'origine des données. Elle devrait également pouvoir obtenir la connaissance de la logique qui sous-tend le traitement automatisé des données la concernant, au moins dans le cas de décisions individuelles automatisées.

    10.2. Les droits des personnes concernées d'obtenir les données les concernant ne devraient pas être limités, à moins que cela ne soit prévu par la loi et ne soit nécessaire :

    a. à la prévention, à l’investigation ou à la répression d’une infraction pénale ;

    b. à la sauvegarde des droits et libertés de la personne concernée ou d’autrui.

    Dans un tel cas, le droit d'accès ne peut être limité qu’aussi longtemps que perdure le motif de la limitation.

    10.3. Les personnes concernées devraient pouvoir obtenir, selon le cas, la rectification, l'effacement ou le verrouillage de leurs données, lorsqu'elles ont été collectées ou traitées en méconnaissance des dispositions du droit interne donnant effet aux principes énoncés dans la présente recommandation et, notamment, lorsqu'elles s'avèrent inexactes, non pertinentes ou excessives.

    10.4. Les motifs d'une limitation des droits d'accès, de rectification, d’effacement et de verrouillage devraient être donnés par écrit. Lorsque l’accès de la personne concernée, ainsi que ses droits à la rectification, à l’effacement et au verrouillage des données sont limités, celle-ci devrait être informée de son droit de saisir l’autorité compétente d’une demande de vérification de la licéité des traitements.

    10.5. Les tiers auxquels des données ont été communiquées devraient être informés de la rectification, de l'effacement ou du verrouillage effectué, sauf si cela s'avère manifestement déraisonnable ou infaisable.

    10.6. Le responsable du traitement devrait, à des intervalles raisonnables et sans délais ou frais excessifs, communiquer à la personne qui exerce le droit d'accès les données à caractère personnel la concernant, ainsi que toutes les informations visées au Principe 10.1, pour lesquelles le droit d’accès est exercé.

    11. Sécurité des données

    11.1. Des mesures techniques et d'organisation appropriées devraient être prises pour assurer la protection des données à caractère personnel, traitées conformément aux dispositions du droit interne donnant effet aux principes de la présente recommandation, contre la destruction – accidentelle ou illicite – et la perte accidentelle, ainsi que contre l’accès, la modification, la communication non autorisés ou toute autre forme de traitement illicite.

    Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d’une part, de l’état de la technique et, d’autre part, de la nature sensible des données collectées et traitées à des fins d’assurance, et de l’évaluation des risques potentiels. Elles devraient faire l'objet d'un examen périodique.

    11.2. Afin notamment d'assurer la confidentialité, l'intégrité et la disponibilité des données traitées, ainsi que la protection des personnes concernées, le responsable du traitement devrait prendre des mesures appropriées visant :

    a. à empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement de données à caractère personnel (contrôle à l'entrée des installations) ;

    b. à empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée (contrôle des supports de données) ;

    c. à empêcher l'introduction non autorisée de données dans le système d'information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données à caractère personnel mémorisées (contrôle de la mémoire) ;

    d. à empêcher que des systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données (contrôle de l'utilisation) ;

    e. à assurer, en vue, d'une part, de l'accès sélectif aux données et, d'autre part, de la sécurité des données à caractère personnel, que leur traitement est, en règle générale, conçu de façon à permettre la séparation :

    - des identifiants et des données relatives à l'identité des personnes,
    - des données administratives,
    - des données sensibles (contrôle des accès).

    f. à garantir qu'il pourra être vérifié et constaté à quelles personnes ou à quels organismes des données à caractère personnel peuvent être communiquées par des installations de transmission de données (contrôle de la communication) ;

    g. à garantir qu'il pourra être vérifié et constaté, a posteriori, qui a eu accès au système et quelles données à caractère personnel ont été introduites dans le système d'information, à quel moment et par quelle personne (contrôle de l'introduction) ;

    h. à empêcher que, lors de la communication de données à caractère personnel, ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport) ;

    i. à sauvegarder les données, par la constitution de copies de sécurité (contrôle de disponibilité).

    11.3. Les responsables du traitement doivent, conformément au droit interne, établir un règlement interne approprié dans le respect des principes pertinents de la présente recommandation.

    11.4. Si nécessaire, les responsables du traitement doivent désigner une personne indépendante chargée de la sécurité des systèmes d'information et de la protection des données, et compétente pour donner conseil sur ces questions.

    12. Flux transfrontières

    12.1. Les principes de la présente recommandation sont applicables aux flux transfrontières de données à caractère personnel collectées et traitées à des fins d'assurance.

    12.2. Les flux transfrontières de données à caractère personnel vers un Etat ayant ratifié la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE n° 108) et disposant d'une législation qui apporte une protection des données équivalente ne devraient pas être soumis à des conditions particulières de protection de la vie privée.

    12.3. Il ne devrait pas y avoir de limitation aux flux transfrontières de données vers un Etat qui n’a pas ratifié la Convention, mais qui assure un niveau de protection adéquat.

    12.4. A moins que le droit interne n'en dispose autrement, les flux transfrontières de données vers un Etat n'assurant pas un niveau de protection adéquat ne devraient, en règle générale, pas avoir lieu, à moins que :

    a. la personne concernée n'ait donné son consentement, conformément au Chapitre 6 ; ou

    b. des mesures nécessaires, y compris de nature contractuelle, au respect du droit interne donnant effet aux principes de la Convention et de la présente recommandation n'aient été prises, et que la personne concernée n’ait la possibilité de s'opposer au transfert.

    13. Conservation des données

    13.1. Lorsque les données à caractère personnel ne sont plus nécessaires pour atteindre les finalités pour lesquelles elles ont été collectées et traitées par le responsable du traitement, elles devraient être effacées. Ce principe s’applique également lorsqu’une décision de refus d’assurance est prise. Si elles doivent être néanmoins conservées, à des fins de recherche scientifique ou statistique ou à d'autres fins prévues par la loi, elles devraient être conservées séparément, accessibles uniquement à ces fins et moyennant des garanties appropriées.

    13.2. Concernant la durée de conservation des données est notamment prise en compte la nécessité de conserver les données pendant la période requise pour la défense dans les actions en justice, pour l'établissement des preuves de transaction ou pour justifier une décision de refus d’assurance.

    14. Recours

    Le droit interne devrait prévoir les sanctions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de la présente recommandation.

    15. Garanties pour le respect des principes

    15.1. Les Etats membres chargent une ou plusieurs autorités, qui exercent leurs missions en toute indépendance, de veiller au respect de l'application du droit interne donnant effet aux principes de la présente recommandation.

    15.2. Devraient faire l'objet d'une publicité appropriée et être aisément accessibles à tous les informations sur :

    a. le nom et l'adresse du responsable du traitement et, le cas échéant, de son représentant ;

    b. la ou les finalités du traitement ;

    c. la ou les catégories de personnes concernées et de données ;

    d. les destinataires ou les catégories de destinataires auxquels les données sont susceptibles d'être communiquées ;

    e. les transferts de données envisagés à destination de pays tiers.



 Haut de page

 

  Documents liés
 
   Réunions
 
   Documents connexes