Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Article 2 de la Directive 2009/136/CE du 25 novembre 2009

La directive 2002/58/CE (directive «vie privée et communications électroniques») est modifiée comme suit:

1.

À l’article 1er, le paragraphe 1 est remplacé par le texte suivant:

«1.   La présente directive prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans la Communauté.»

2.

L’article 2 est modifié comme suit:

a)

le point c) est remplacé par le texte suivant:

«c)

“données de localisation”: toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public;»

b)

le point e) est supprimé;

c)

le point suivant est ajouté:

«h)

“violation de données à caractère personnel”: une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté.»

3.

L’article 3 est remplacé par le texte suivant:

«Article 3

Services concernés

La présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics dans la Communauté, y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d'identification.»

4.

L’article 4 est modifié comme suit:

a)

le titre est remplacé par le texte suivant:

«Sécurité du traitement»;

b)

le paragraphe suivant est inséré:

«1 bis.   Sans préjudice des dispositions de la directive 95/46/CE, les mesures visées au paragraphe 1, pour le moins:

garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,

protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et

assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.»;

c)

les paragraphes suivants sont ajoutés:

«3.   En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.

La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

Sans préjudice de l’obligation du fournisseur d’informer les abonnés et les particuliers concernés, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, l’autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.

La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à l’autorité nationale compétente décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.

4.   Sous réserve des mesures techniques d’application adoptées en vertu du paragraphe 5, les autorités nationales compétentes peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Elles doivent également être en mesure de contrôler si les fournisseurs ont satisfait aux obligations de notification qui leur incombent en vertu du présent paragraphe et infligent des sanctions appropriées si ces derniers ne s’y sont pas conformés.

Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre aux autorités nationales compétentes de vérifier le respect des dispositions du paragraphe 3. Cet inventaire comporte uniquement les informations nécessaires à cette fin.

5.   Afin d’assurer une mise en œuvre cohérente des mesures visées aux paragraphes 2, 3 et 4, la Commission peut, après consultation de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), du groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE et du Contrôleur européen de la protection des données, adopter des mesures techniques d’application concernant les circonstances, le format et les procédures applicables aux exigences en matière d’information et de notification visées au présent article. Lors de l’adoption de ces mesures, la Commission associe toutes les parties prenantes concernées, notamment pour être informée des meilleures solutions techniques et économiques disponibles pour assurer la mise en œuvre du présent article.

Ces mesures, qui visent à modifier des éléments non essentiels de la présente directive en la complétant, sont arrêtées en conformité avec la procédure de réglementation avec contrôle visée à l’article 14 bis, paragraphe 2.»

5.

À l’article 5, le paragraphe 3 est remplacé par le texte suivant:

«3.   Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.»

6.

À l’article 6, le paragraphe 3 est remplacé par le texte suivant:

«3.   Afin de commercialiser des services de communications électroniques ou de fournir des services à valeur ajoutée, le fournisseur d’un service de communications électroniques accessible au public peut traiter les données visées au paragraphe 1 dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de ces services, pour autant que l’abonné ou l’utilisateur que concernent ces données ait donné son consentement préalable. Les utilisateurs ou abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données relatives au trafic.»

7.

L’article 13 est remplacé par le texte suivant:

«Article 13

Communications non sollicitées

1.   L’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ou des utilisateurs ayant donné leur consentement préalable.

2.   Nonobstant le paragraphe 1, lorsque, dans le respect de la directive 95/46/CE, une personne physique ou morale a, dans le cadre de la vente d’un produit ou d’un service, obtenu de ses clients leurs coordonnées électroniques en vue d’un courrier électronique, ladite personne physique ou morale peut exploiter ces coordonnées électroniques à des fins de prospection directe pour des produits ou services analogues qu’elle-même fournit pour autant que lesdits clients se voient donner clairement et expressément la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation des coordonnées électroniques au moment où elles sont recueillies et lors de chaque message, au cas où ils n’auraient pas refusé d’emblée une telle exploitation.

3.   Les États membres prennent les mesures appropriées pour assurer que les communications non sollicitées effectuées à des fins de prospection directe, dans les cas autres que ceux visés aux paragraphes 1 et 2, ne soient pas autorisées, soit sans le consentement des abonnés ou des utilisateurs concernés, soit à l’égard des abonnés ou des utilisateurs qui ne souhaitent pas recevoir ces communications, le choix entre ces deux solutions étant régi par la législation nationale, sachant que les deux solutions doivent être gratuites pour l’abonné ou l’utilisateur.

4.   Dans tous les cas, il est interdit d’émettre des messages électroniques à des fins de prospection directe en camouflant ou en dissimulant l’identité de l’émetteur au nom duquel la communication est faite, en violation de l’article 6 de la directive 2000/31/CE, sans indiquer d’adresse valable à laquelle le destinataire peut transmettre une demande visant à obtenir que ces communications cessent, ou en encourageant les destinataires à visiter des sites internet enfreignant ledit article.

5.   Les paragraphes 1 et 3 s’appliquent aux abonnés qui sont des personnes physiques. Les États membres veillent également, dans le cadre du droit communautaire et des législations nationales applicables, à ce que les intérêts légitimes des abonnés autres que les personnes physiques soient suffisamment protégés en ce qui concerne les communications non sollicitées.

6.   Sans préjudice d’éventuels recours administratifs qui peuvent être prévus notamment en vertu de l’article 15 bis, paragraphe 2, les États membres veillent à ce que toute personne physique ou morale ayant pâti d’infractions aux dispositions nationales adoptées en application du présent article et ayant dès lors un intérêt légitime à voir cesser ou interdire ces infractions, y compris un fournisseur de services de communications électroniques protégeant ses intérêts professionnels légitimes, puisse engager des actions en justice en ce qui concerne de telles infractions. Les États membres peuvent également déterminer le régime spécifique des sanctions applicables aux fournisseurs de services de communications électroniques qui, par leur négligence, contribuent aux violations des dispositions nationales prises en application du présent article.»

8.

L’article suivant est inséré:

«Article 14 bis

Procédure de comité

1.   La Commission est assistée par le comité des communications institué par l’article 22 de la directive 2002/21/CE (directive “cadre”).

2.   Dans le cas où il est fait référence au présent paragraphe, l’article 5 bis, paragraphes 1 à 4, et l’article 7 de la décision 1999/468/CE s’appliquent, dans le respect des dispositions de l’article 8 de celle-ci.

3.   Dans le cas où il est fait référence au présent paragraphe, l’article 5 bis, paragraphes 1, 2, 4 et 6, et l’article 7 de la décision 1999/468/CE s'appliquent, dans le respect des dispositions de l’article 8 de celle-ci.»

9.

À l’article 15, le paragraphe suivant est inséré:

«1 ter.   Les fournisseurs établissent, sur la base des dispositions nationales adoptées au titre du paragraphe 1, des procédures internes permettant de répondre aux demandes d’accès aux données à caractère personnel concernant les utilisateurs. Ils mettent, sur demande, à la disposition de l’autorité nationale compétente des informations sur ces procédures, sur le nombre de demandes reçues, sur la base juridique invoquée et sur leur réponse.»

10.

L’article suivant est inséré:

«Article 15 bis

Mise en œuvre et contrôle de l’application

1.   Les États membres déterminent le régime des sanctions, y compris des sanctions pénales s’il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l’infraction, même si celle-ci a été ultérieurement corrigée. Les États membres notifient ces dispositions à la Commission, au plus tard le 25 mai 2011, et toute modification ultérieure les concernant dans les meilleurs délais.

2.   Sans préjudice de tout recours judiciaire qui pourrait être disponible, les États membres veillent à ce que l’autorité nationale compétente et, le cas échéant, d’autres organismes nationaux aient le pouvoir d’ordonner la cessation des infractions visées au paragraphe 1.

3.   Les États membres veillent à ce que l’autorité nationale compétente et, le cas échéant, d’autres organismes nationaux disposent des pouvoirs d’enquête et des ressources nécessaires, et notamment du pouvoir d’obtenir toute information pertinente dont ils pourraient avoir besoin, afin de surveiller et de contrôler le respect des dispositions nationales adoptées en application de la présente directive.

4.   Les autorités réglementaire nationales compétentes peuvent adopter des mesures afin d’assurer une coopération transfrontalière effective dans le contrôle de l’application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers.

Les autorités réglementaires nationales fournissent à la Commission, en temps utile avant l’adoption de ces mesures, un résumé des raisons sur lesquelles se fondent leur intervention, les mesures envisagées et la démarche proposée. Après avoir examiné ces informations et consulté l’ENISA et le groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE, la Commission peut émettre des commentaires ou faire des recommandations, en particulier pour garantir que les mesures envisagées ne font pas obstacle au fonctionnement du marché intérieur. Les autorités réglementaires nationales tiennent le plus grand compte des commentaires ou recommandations de la Commission lorsqu’elles statuent sur ces mesures.»
  1. Doctrine
  2. Droit de l'Union Européenne
  3. Directives
  4. 2009
  5. Directive n°2009/136/CE
Contactez notre service commercial au 01 84 80 33 48