L.O.

3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

TITRE I : DISPOSITIONS GÉNÉRALES

a)Adapter le système juridique espagnol aurèglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données, et compléter ses dispositions.
Le droit fondamental des personnes physiques à la protection des données à caractère personnel, protégé par l'article 18.4 de la Constitution (La loi limite
OBJET DE LA l'usage des technologies de l'information pour garantir l'honneur et la vie privée personnelle et familiale des citoyens et le plein exercice de leurs droits),
LOI s'exerce conformément aux dispositions durèglement (UE) 2016/679 et de la présente loi organique.
Art. 1
b)garantir les droits numériques des citoyens conformément au mandat énoncé à l'article 18.4 de la Constitution.

- Elle s'applique à tout traitement entièrement ou partiellement automatisé de données à caractère personnel, ainsi qu'au traitement non automatisé de
données à caractère personnel contenues ou appelées à figurer dans un fichier.
 a)Traitements exclus du champ d'application durèglement général sur la protection des données en vertu de l'article 2, paragraphe 2 (ne
s'applique pas au traitement des données à caractère personnel) :
o (a)dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union . Dans ce cas, il est régi par la législation
spécifique et, en outre, par les dispositions de la RS et de la présente LO. Les traitements effectués sont dans ce cas :
 Sous l'OL du régime électoral général
CHAMP  Dans le domaine des institutions pénitentiaires
D'APPLICAT  Celles qui proviennent du registre civil, du registre de la propriété et du registre du commerce.
ION DES o (b)par les É tats membres lorsqu'ils exercent des activités relevant du champ d'application du chapitre 2 du titre V du TUE;
TITRE I À IX
o (c) effectuées parune personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques ;
et des
NON o (d)par les autorités compétentes à des fins de prévention, d'enquête, de détection ou de poursuite d'infractions pénales ou
articles 89 à
APPLICABLE d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles
94
menaces.
sans préjudice des paragraphes 3 et 4 du présent article.
Art. 2
 (b)au traitement des données relatives aux personnes décédées, sans préjudice de l'article 3.
 (c) latransformation soumise à la réglementation relative à la protection du matériel classifié.
Note : le traitement effectué par les organes judiciaires ainsi que celui effectué dans le cadre de la gestion de l'Office judiciaire sont régis :
 Par le règlement (UE) 216/679
 Ce LO
 Sans préjudice des dispositions de la LO du pouvoir judiciaire qui lui sont applicables

 Les personnes liées au défunt par des liens de parenté ou de fait ainsi que leurs héritiers SAUF si le défunt l'a expressément interdit ou si la
PEUT ACCÉDER,
loi l'établit. Cette interdiction ne porte pas atteinte au droit des héritiers d'accéder aux données patrimoniales du défunt.
DONNÉES RECTIFIER OU
 Les personnes ou institutions que le défunt a expressément désignées à cet effet. Par arrêté royal : exigences et conditions pour accréditer la
DES SUPPRIMER
validité et le bien-fondé de ces mandats ou instructions et, le cas échéant, leur enregistrement.
PERSONNES
 Ces pouvoirs peuvent également être exercés par leurs représentants légaux ou, dans le cadre de ses compétences, par le ministère public,
DÉCÉDÉES MINEURS
qui peut agir d'office ou à la demande de toute personne physique ou morale intéressée.
Art. 3
LES PERSONNES  Pour ceux indiqués pour les mineurs.
HANDICAPÉES  ou par les personnes désignées pour exercer des fonctions d'appui, si ces pouvoirs entrent dans le champ d'application des mesures d'appui.

1
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

TITRE II : PRINCIPES DE PROTECTION DES DONNÉES

 Les données sont exactes et, si nécessaire, mises à jour.
 Le responsable du traitement ne peut être tenu pour responsable, pour autant qu'il ait pris toutes les mesures raisonnables pour que les données à
caractère personnel soient effacées ou rectifiées sans délai, pour les données à caractère personnel inexactes, au regard des finalités pour lesquelles
elles sont traitées, lorsque les données sont inexactes :
o Elles auraient été obtenues par la personne responsable directement auprès de la personne concernée.
L'EXACTITUDE DES
o Ils auraient été obtenus par le responsable d'un ou de plusieurs intermédiaires lorsque les règles applicables au secteur d'activité prévoient
DONNÉES
cette possibilité. Le médiateur assume la responsabilité si les données communiquées au responsable du traitement ne correspondent pas à
Art. 4
celles fournies par la personne concernée.
o Si le responsable du traitement les a reçues d'un autre responsable du traitement en vertu de l'exercice du droit à la portabilité par la personne
concernée.
o ont été obtenus par la personne responsable à partir d'un registre public.

 Ils sont soumis à cette obligation même si la relation de la personne concernée avec le responsable du traitement ou le sous-traitant a pris fin :
OBLIGATION DE o Le responsable du traitement des données
CONFIDENTIALITÉ
o Les responsables du traitement des données
Art. 5
o ainsi que toutes les personnes impliquées à tous les stades du projet.
 Il s'agit de toute expression du consentement LIBRE, SPÉ CIFIQUE, INFORMÉ ET NON QUIVOCAL au traitement des données à caractère personnel le
LE CONSENTEMENT
concernant, soit par une déclaration, soit par une action affirmative claire.
DE LA PERSONNE
 S'il s'agit de plusieurs objectifs, il doit être indiqué spécifiquement et sans équivoque qu'il est accordé pour l'ensemble de ces objectifs.
CONCERNÉE
 L'exécution du contrat ne peut être subordonnée au consentement de la personne concernée au traitement de données à caractère personnel à des fins
Art. 6
non liées au maintien, à l'exécution ou au contrô le de la relation contractuelle.
 Si le mineur a PLUS DE 14 ANS, sauf si la loi exige l'assistance des titulaires de l'autorité parentale ou de la tutelle pour la conclusion de l'acte ou de la
CONSENTEMENT
transaction juridique dans le cadre de laquelle le consentement au traitement est demandé.
DES MINEURS
 Si la personne est â gée de moins de 14 ans : le consentement ne sera licite que si le consentement du titulaire de l'autorité parentale ou de la tutelle est
Art. 7
consigné, avec la portée qu'il détermine.
Traitement des  Pour le respect d'un DUE ou d'une NORME DANS LE CADRE DE LA LOI, qui peut également imposer des conditions particulières au traitement, telles
données en raison que des mesures de sécurité supplémentaires ou d'autres mesures énoncées dans le règlement (UE) 2016/769 :
d'une obligation o la pseudonymisation et le cryptage des données à caractère personnel ;
légale, de l'intérêt o la capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
public ou de o la capacité à rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique ;
l'exercice de o un processus de vérification, d'évaluation et d'appréciation régulières de l'efficacité des mesures techniques et organisationnelles visant à
pouvoirs publics assurer la sécurité du traitement.
Art. 8  Pour l'accomplissement d'une mission effectuée dans l'intérêt public ou dans l'exercice des pouvoirs publics selon la RS, lorsqu'elle découle d'une
compétence attribuée par un règlement ayant valeur de loi.

2
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

 Le simple consentement de la personne concernée ne suffit pas à lever l'interdiction du traitement des données dont le but principal est
CATÉGORIES d'identifier son idéologie, son appartenance syndicale, sa religion, son orientation sexuelle, ses croyances et son origine raciale ou ethnique
PARTICULIÈRES DE SAUF, conformément à l'art. 9.2 SR :
DONNÉES a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs des finalités
Art. 9 spécifiées, sauf si le droit de l'Union ou des États membres prévoit que l'interdiction susmentionnée ne peut être levée par la personne concernée ;
b) le traitement est nécessaire à l'exécution d'obligations et à l'exercice de droits spécifiques du responsable du traitement ou de la personne
concernée dans le domaine du droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où il est autorisé par le droit de
l'Union des États membres ou par une convention collective conclue en vertu du droit des États membres et prévoyant des garanties appropriées
pour le respect des droits fondamentaux et des intérêts de la personne concernée ;
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, lorsque la personne
concernée n'est pas juridiquement ou physiquement en mesure de donner son consentement ;
d) le traitement est effectué, dans le cadre de ses activités légitimes et avec les garanties appropriées, par une fondation, une association ou tout autre
organisme à but non lucratif ayant un objet politique, philosophique, religieux ou syndical, pour autant que le traitement ne concerne que les
membres actuels ou anciens de ces organismes ou les personnes entretenant des contacts réguliers avec eux en liaison avec leur objet et que les
données à caractère personnel ne leur soient pas communiquées pour leur objet.Le traitement est effectué par une fondation, une association ou un
autre organisme à but non lucratif dont l'objet est politique, philosophique, religieux ou syndical, à condition que le traitement ne concerne que les
membres actuels ou anciens de ces organismes ou les personnes qui entretiennent des contacts réguliers avec eux en liaison avec leurs objectifs et
que les données à caractère personnel ne soient pas divulguées en dehors de ces organismes sans le consentement des personnes concernées;
e) le traitement porte sur des données à caractère personnel que la personne concernée a manifestement rendues publiques;
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit ou lorsque les tribunaux agissent dans l'exercice de leurs
fonctions juridictionnelles ;
g) le traitement est nécessaire pour des raisons d'intérêt public essentiel sur la base du droit de l'Union ou de l'État membre, qui doit être
proportionné à l'objectif poursuivi, respecter en substance le droit à la protection des données et prévoir des mesures appropriées et spécifiques
pour protéger les intérêts et les droits fondamentaux de la personne concernée ;
h) le traitement est nécessaire aux fins de la médecine préventive ou professionnelle, de l'évaluation de la capacité de travail du travailleur, des
diagnostics médicaux, de la prestation de soins de santé ou de soins sociaux ou de traitements, ou de la gestion de systèmes et de services de santé et
de soins sociaux, sur la base du droit de l'Union ou des États membres ou en vertu d'un contrat conclu avec un professionnel de la santé, lorsque le
traitement est effectué par un professionnel soumis à une obligation de confidentialité(c) le traitement est nécessaire aux fins de la médecine
préventive ou de la médecine du travail, de l'évaluation de la capacité de travail du travailleur, des diagnostics médicaux, de la prestation de soins
ou de traitements médicaux ou sociaux, ou de la gestion de systèmes et de services de santé et de protection sociale, sur la base du droit de l'Union
ou des États membres ou en vertu d'un contrat conclu avec un professionnel de la santé, lorsque le traitement est effectué par un professionnel
soumis à l'obligation de secret professionnel.
i) le traitement est nécessaire pour des raisons d'intérêt public dans le domaine de la santé publique, telles que la protection contre les menaces
transfrontières graves pour la santé, ou pour assurer des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des
dispositifs médicaux, sur la base du droit de l'Union ou des États membres prévoyant des mesures appropriées et spécifiques pour protéger les droits
et libertés de la personne concernée, en particulier le secret professionnel.Le droit des États membres qui prévoit des mesures appropriées et
spécifiques pour protéger les droits et libertés de la personne concernée, en particulier le secret professionnel,
j) le traitement est nécessaire à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ,
conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou de l'État membre, qui doit être proportionné à l'objectif poursuivi,

3
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

respecter par essence le droit à la protection des données et prévoir des mesures appropriées et spécifiques pour protéger les intérêts et les droits
fondamentaux de la personne concernée.Le traitement doit être proportionné à la finalité poursuivie, respecter par essence le droit à la protection
des données et prévoir des mesures appropriées et spécifiques pour protéger les intérêts et les droits fondamentaux de la personne concernée.
 REMARQUE: les traitements visés à l'art. 9.2. du RE basé sur le droit espagnol doivent être couverts par un règlement ayant valeur de loi, qui peut établir des
exigences supplémentaires en matière de sécurité et de confidentialité. Cette règle peut couvrir le traitement de données dans le domaine de la SANTÉ,
lorsque cela est nécessaire pour la gestion des systèmes et services de santé publics et privés ou pour l'exécution d'un contrat d'assurance auquel la
personne concernée est partie.
 Elle ne peut être effectuée que sous le contrô le des autorités publiques, sauf à des fins autres que la prévention, la recherche, la détection ou la
poursuite d'infractions pénales ou l'exécution de sanctions pénales.
TRAITEMENT DES  Le registre complet des données relatives aux condamnations pénales et aux infractions, ainsi qu'aux procédures et aux mesures de précaution et de
DONNÉES À sécurité connexes :
CARACTÈRE PÉNAL a) Elle peut être effectuée conformément aux règles du système des documents administratifs à l'appui de l'administration de la justice.
Art. 10 b) Elle ne peut être effectuée que sous le contrô le des autorités publiques.
 En dehors des cas indiqués dans les sections précédentes, le traitement de ce type de données n'est possible que lorsqu'il est effectué par ABOGADOS Y
PROCURADORES Y PROCURADORES et qu'il a pour but de recueillir les informations fournies par ses clients pour l'exercice de leurs fonctions.

TITRE III : DROITS DES PERSONNES

TRANSPARENCE ET  C'est le responsable du traitement qui a l'obligation de fournir des informations de base.
INFORMATION  Au moment où ils sont obtenus
Art. 11  Elle fournit également une adresse électronique et d'autres moyens d'accès facile et immédiat aux informations restantes.
Si les données  DES INFORMATIONS DE BASE :
sont obtenues a) Identité de la personne responsable et de son représentant, le cas échéant.
directement b) La finalité du traitement
auprès de la c) la possibilité d'exercer les droits énoncés aux articles 15 à 22 du règlement d'application : droits d'accès, de rectification,
personne d'effacement, de limitation, de portabilité des données, d'opposition et de décision individuelle automatisée, y compris le
concernée profilage (dans ce dernier cas, l'information de base doit contenir cette circonstance, lorsque la personne concernée est
informée du droit de s'opposer à l'adoption de décisions individuelles automatisées produisant des effets juridiques).Dans
ce dernier cas, l'information de base contient cette circonstance, où la personne concernée est informée du droit de
s'opposer à l'adoption de décisions individuelles automatisées produisant des effets juridiques à son égard ou l'affectant de
manière significative de façon similaire.
Si les données  Le responsable du traitement peut se conformer à l'obligation de fournir des informations et, en outre, les INFORMATIONS DE BASE
ne sont pas DOIVENT CONTENIR :
collectées  Les catégories de données traitées.

4
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

directement  Les sources d' où proviennent les données.

auprès de la  Dès qu'ils sont obtenus.
personne  Elle fournit également une adresse électronique et d'autres moyens d'accès facile et immédiat aux informations restantes.
concernée
Art. 14 SR :
1) Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement
fournit à cette dernière les informations suivantes
(a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant ;
(b) les coordonnées du délégué à la protection des données, le cas échéant ;
(c) les finalités du traitement auquel les données à caractère personnel sont destinées, ainsi que la base juridique du traitement ;
(d) les catégories de données à caractère personnel concernées ;
(e) les destinataires ou catégories de destinataires des données à caractère personnel, le cas échéant ;
(f) le cas échéant, l'intention du responsable du traitement de transférer des données à caractère personnel à un destinataire situé dans un pays
tiers ou une organisation internationale et l'existence ou l'absence d'une décision d'adéquation de la Commission(f) le cas échéant, l'intention du
responsable du traitement de transférer des données à caractère personnel à un destinataire situé dans un pays tiers ou une organisation
internationale et l'existence ou l'absence d'une décision d'adéquation de la Commission, ou, dans le cas des transferts visés aux articles 46 ou 47
ou à l'article 49, paragraphe 1, deuxième alinéa, la référence à des garanties adéquates ou appropriées et les moyens d'en obtenir une copie ou le
fait qu'elles ont été données.

2)Outre les informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes,
nécessaires pour garantir un traitement loyal et transparent des données en ce qui concerne la personne concernée :
(a) la durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée ;
(b) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes du responsable du traitement ou d'un tiers
(c) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel concernant la personne concernée,
leur rectification, leur effacement ou la limitation de leur traitement, et de s'opposer au traitement, ainsi que le droit à la portabilité des
données ;
(d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer le
consentement à tout moment, sans affecter la licéité du traitement fondé sur le consentement avant son retrait ;
(e) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
(f) la source d'où proviennent les données à caractère personnel et, le cas échéant, si elles proviennent de sources accessibles au public ;
(g) l'existence de décisions automatisées, y compris le profilage, visées à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des
informations significatives sur la logique impliquée ainsi que sur l'importance et les conséquences attendues de ce traitement pour la personne
concernée.

3) Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

(a)dans un délai raisonnable à compter de la collecte des données à caractère personnel et au plus tard dans un délai d'un mois,
compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont traitées
(b) si les données à caractère personnel doivent être utilisées pour communiquer avec la personne concernée, au plus tard au moment de la
première communication à la personne concernée, ou
(c) si elles sont destinées à être communiquées à un autre destinataire, au plus tard au moment où les données à caractère personnel sont

5
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

communiquées pour la première fois.

4) Lorsque le responsable du traitement a l'intention de traiter ultérieurement les données à caractère personnel pour une finalité autre que
celle pour laquelle elles ont été collectées, il fournit à la personne concernée, avant ce traitement ultérieur, des informations sur cette autre
finalité ainsi que toute autre information pertinente visée au paragraphe 2.

5) Les dispositions des paragraphes 1 à 4 ne s'appliquent pas lorsque et dans la mesure où :

(a) la personne concernée dispose déjà de l'information ;
(la communication de ces informations s'avère impossible ou implique un effort disproportionné, notamment à des fins d'archivage dans l'intérêt
public, à des fins de recherche scientifique ou historique ou à des fins statistiques(la communication de ces informations s'avère impossible ou
implique des efforts disproportionnés, notamment pour les traitements à des fins d'archivage dans l'intérêt public, à des fins de recherche
scientifique ou historique ou à des fins statistiques, dans le respect des conditions et des garanties visées à l'article 89, paragraphe 1, ou dans la
mesure où l'obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou d'entraver sérieusement la réalisation des
finalités de ces traitements. Dans ce cas, le responsable du traitement prend les mesures appropriées pour protéger les droits, les libertés et les
intérêts légitimes de la personne concernée, y compris en mettant les informations à la disposition du public.
(c) la collecte ou la communication est expressément prévue par le droit de l'Union ou de l'État membre qui s'applique au responsable du
traitement et qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée ; ou
(d) lorsque les données à caractère personnel doivent rester confidentielles sur la base d'une obligation de secret professionnel prévue par le
droit de l'Union ou des États membres, y compris une obligation légale de secret.

L'EXERCICE DES DISPOSITIONS  Les droits reconnus aux articles 15 à 22 du RE peuvent être exercés DIRECTEMENT OU PAR L'INTERMÉDIAIRE D'UN
DROITS GÉNÉRALES REPRÉSENTANT JURIDIQUE OU VULONTAIRE.
Art. 12  Le responsable du traitement est tenu d'informer la personne concernée des moyens dont elle dispose pour exercer ses droits,
lesquels doivent être facilement accessibles.
 L'exercice de ce droit ne peut être refusé au seul motif que l'intéressé a opté pour un autre moyen.
 Le sous-traitant peut traiter, pour le compte du responsable du traitement, les demandes d'exercice des droits formulées par les
personnes concernées si le contrat ou l'acte juridique qui les lie le prévoit.
 La preuve du respect de l'obligation de répondre à une telle demande incombe au responsable du traitement.
 Si la législation applicable à certains traitements établit un régime spécial affectant l'exercice des droits prévus au chapitre III du
règlement d'application (droits de la personne concernée), les dispositions de cette législation s'appliquent.
 Dans tous les cas, les titulaires de l'autorité parentale peuvent exercer les droits d'accès, de rectification, d'annulation, d'opposition
ou tout autre droit qui peut leur correspondre conformément à la présente loi, au nom et pour le compte des MINEURS DE MOINS
DE 14 ANS.
 Les actions menées par le responsable du traitement pour répondre aux demandes d'exercice de ces droits sont GRATUITES, sans
préjudice des dispositions de l'art. 12.5 et 15.3 des ME et article 13(3) et (4) de la présente loi

Article 12.5. Lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le
responsable du traitement peut :
(a) facturer une redevance raisonnable basée sur les coûts administratifs encourus pour fournir l'information ou la communication ou pour
prendre la mesure demandée, ou

6
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

(b) refuser de donner suite à la demande.

Il incombe au responsable du traitement de prouver le caractère manifestement infondé ou excessif de la demande.
Article 15.3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet du traitement. Le responsable
du traitement peut facturer pour toute copie supplémentaire demandée par la personne concernée une redevance raisonnable basée sur les coûts
administratifs. Lorsque la personne concernée présente la demande par voie électronique, et sauf demande contraire de la personne concernée,
les informations sont fournies dans un format électronique couramment utilisé.

DROIT D'ACCÈS  Il est exercé conformément aux dispositions de l'article 15 du règlement d'application
Art. 13 1) La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant font ou
ne font pas l'objet d'un traitement et, le cas échéant, le droit d'accéder aux données à caractère personnel et aux informations suivantes:
(a)les finalités du traitement ;
(b)les catégories de données à caractère personnel concernées ;
(c)les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, en particulier les destinataires dans
des tiers ou des organisations internationales ;
(d)si possible, la durée de conservation prévue des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée ;
(e)l'existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel, ou la limitation du traitement
des données à caractère personnel concernant la personne concernée, ou de s'y opposer ;
(f)le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
(g)lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, toute information disponible sur leur origine ;
(h)l'existence de décisions automatisées, y compris le profilage, visées à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations utiles sur la
logique utilisée ainsi que sur l'importance et l'impact escompté de ce traitement sur la personne concernée.

2) Lorsque des données à caractère personnel sont transférées à un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être
informée des garanties appropriées prévues à l'article 46 concernant le transfert.
3.le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet du traitement. Le responsable du traitement peut facturer pour
toute copie supplémentaire demandée par la personne concernée une redevance raisonnable basée sur les coûts administratifs. Lorsque la personne concernée
présente la demande par voie électronique, et sauf demande contraire de la personne concernée, les informations sont fournies dans un format électronique
couramment utilisé.
Le droit d'obtenir une copie visé au paragraphe 3 ne doit pas porter atteinte aux droits et libertés d'autrui.

 Lorsque le responsable du traitement traite un grand nombre de données relatives à la personne concernée et que celle-ci ne précise pas quelles sont
ces données, le responsable du traitement peut, avant de fournir les informations, demander à la personne concernée d'indiquer les données.
 Il est réputé accordé si le responsable du traitement fournit à la personne concernée un système d'accès à distance, direct et sécurisé aux données à
caractère personnel qui garantit, en permanence, l'accès à toutes les données à caractère personnel. La communication des modalités d'accès suffit pour
que la demande soit considérée comme acceptée. Toutefois, la personne concernée peut demander des informations de base qui ne sont pas incluses
dans le système d'accès à distance.
 L'exercice du droit à plus d'une reprise au cours de la période de 6 mois est considéré comme REPEATIF. Dans ce cas, une redevance peut être
exigée ou un refus de donner suite à la demande peut être opposé.
 La demande est considérée comme EXCESSIVE lorsque la personne concernée choisit un autre moyen que celui qui lui est proposé et qui entraîne un

7
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

coût disproportionné. Les frais excédentaires sont à la charge de l'intéressé. Dans ce cas, seul ce qui est fait sans retard injustifié est opposable à la
personne responsable.

 La personne concernée indique les données auxquelles elle se réfère et la correction à apporter.
DROIT DE
 Elle est accompagnée, le cas échéant, de pièces justificatives attestant que les données sont inexactes ou incomplètes.
RECTIFICATION
Article 16 du règlement d'exemption par catégorie : sans retard injustifié. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir
Art. 14
que les données à caractère personnel incomplètes soient complétées, y compris au moyen d'une déclaration supplémentaire.
DROIT DE  Il est exercé conformément à l'art. 17 de la RS :
SUPPRESSION 1) La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, l'effacement des données à caractère personnel la
("droit à l'oubli") concernant, et le responsable du traitement est tenu d'effacer les données à caractère personnel dans les meilleurs délais dans l'une des circonstances suivantes:
Art. 15 (a) les données à caractère personnel ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
(b)la personne concernée retire le consentement sur lequel le traitement est fondé en vertu de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2,
point a), et le consentement n'est fondé sur aucun autre motif juridique ;
(c)la personne concernée s'oppose au traitement conformément à :
Article 21, paragraphe 1 : la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des
données à caractère personnel la concernant fassent l'objet d'un traitement sur la base de l'article 6, paragraphe 1.
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le
responsable du traitement
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à condition que ne prévalent
pas sur ces intérêts les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère
personnel, en particulier lorsque la personne concernée est un enfant. Sauf si le traitement est effectué par des autorités publiques dans l'exercice
de leurs fonctions
y compris le profilage sur la base de ces dispositions.
Le responsable du traitement cesse de traiter les données SAUF s'il peut démontrer des motifs légitimes impérieux qui prévalent sur les intérêts, les
droits et les libertés de la personne concernée, ou pour la formulation, l'exercice ou la défense de réclamations.
Article 21, paragraphe 2 : lorsque le traitement est effectué à des fins de marketing direct, la personne concernée a le droit de s'opposer à tout moment, y
compris au profilage. Dans ce cas, le responsable du traitement peut conserver les données d'identification de la personne concernée nécessaires pour empêcher
tout traitement futur à des fins de marketing direct..
(d)les données à caractère personnel ont fait l'objet d'un traitement illicite;
(e)les données à caractère personnel doivent être effacées afin de respecter une obligation légale en vertu du droit de l'Union ou de l'État membre applicable au
responsable du traitement ;
(f)les données à caractère personnel ont été collectées dans le cadre de la fourniture des services de la société de l' information visés à l'article 8, paragraphe 1 (le
traitement des données à caractère personnel d'un enfant est considéré comme licite lorsque l'enfant est âgé d'au moins 16 ans). Si l'enfant est âgé de moins de 16
ans, le consentement n'est licite que s'il a été donné ou autorisé par le titulaire de l'autorité parentale ou de la tutelle sur l'enfant, et uniquement dans la mesure où il
a été donné ou autorisé. Les États membres peuvent prévoir par la loi un âge inférieur à ces fins, à condition qu'il ne soit pas inférieur à 13 ans. IMPORTANT.

2.Lorsque desdonnées à caractère personnel ont été rendues publiques et que le responsable du traitement est tenu, en vertu du paragraphe 1, d'effacer
ces données, il prend, compte tenu de la technologie disponible et du coût de sa mise en œuvre, des mesures raisonnables, y compris des mesures techniques, en vue
d'informer les responsables du traitement qui traitent les données à caractère personnel de la demande de la personne concernée d'effacer tout lien vers ces données
à caractère personnel, ou toute copie ou réplique de celles-ci. prendre des mesures raisonnables, y compris d'ordre technique, en vue d'informer les responsables du

8
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

traitement qui traitent les données à caractère personnel de la demande de la personne concernée d'effacer tout lien vers ces données à caractère personnel, ou toute
copie ou réplique de celles-ci.
3) Les paragraphes 1 et 2 NE S'APPLIQUENT PAS lorsqu'un traitement est nécessaire :
a)exercer le droit à la liberté d'expression et d'information;
(b) pour le respect d'une obligation légale exigeant le traitement de données imposée par le droit de l'Union ou des États membres applicable au responsable du
traitement, ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
(c)pour des raisons d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), et paragraphe 3 ;
(d)à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1,
dans la mesure où le droit visé au paragraphe 1 rendrait impossible ou entraverait sérieusement la réalisation des finalités de ce traitement ; ou
e)pour la formulation, l'exercice ou la défense de réclamations.

 Il est exercé conformément à l'art. 18 de la RS :

1) La personne concernée a le droit d'obtenir du responsable du traitement la limitation du traitement des données lorsque l'une des conditions
suivantes est remplie:
(a)la personne concernée conteste l'exactitude des données à caractère personnel, dans un délai permettant au responsable du traitement de vérifier l'exactitude des
données à caractère personnel;
(b)le traitement est illicite et la personne concernée s'oppose à l'effacement des données à caractère personnel et demande au contraire la limitation de leur
utilisation;
(c)le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement , mais la personne concernée en a besoin aux fins de
l'introduction, de l'exercice ou de la défense d'une réclamation ;
DROIT À LA (d)la personne concernée s'est opposée au traitement en vertu de l'article 21, paragraphe 1, tandis que l'on vérifie si les motifs légitimes du responsable du
LIMITATION DU traitement l'emportent sur ceux de la personne concernée.
TRAITEMENT
Art. 16 2. Lorsque le traitement des données à caractère personnel a été limité conformément au paragraphe 1, ces données ne peuvent être traitées, à
l'exception de leur conservation, qu'avec le consentement de la personne concernée ou aux fins de la présentation, de l'exercice ou de la défense d'une
réclamation, ou aux fins de la protection des droits d'une autre personne physique ou morale ou pour des motifs d'intérêt public important de l'Union ou
d'un État membre en particulier.Lorsque des données à caractère personnel ont été traitées conformément au paragraphe 1, elles ne peuvent être
traitées, à l'exception de leur conservation, qu'avec le consentement de la personne concernée ou aux fins de la présentation, de l'exercice ou de la
défense d'une réclamation, ou aux fins de la protection des droits d'une autre personne physique ou morale ou pour des motifs d'intérêt public important
de l'Union ou d'un État membre particulier.
3) Toute personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant la
levée de la limitation.
 Le fait que le traitement est limité doit être clairement indiqué dans les systèmes d'information du responsable du traitement.

DROIT À LA  Il est exercé conformément à l'art. 20 de la RS :

PORTABILITÉ
Art. 17 1)La personne concernée a le droit de recevoir les données à caractère personnel la concernant qu'elle a fournies à un responsable du traitement dans un
format structuré, couramment utilisé et lisible par machine , et de les transmettre à un autre responsable du traitement sans en être empêchée par le

9
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

responsable du traitement auquel elle les a fournies, lorsque :

(a)le traitement est fondé sur le consentement ou sur un contrat
(b)le traitement est effectué par des moyens automatisés.

2)Dans l'exercice de son droit à la portabilité des données, la personne concernée a le droit d'obtenir que les données à caractère personnel soient transmises
directement d'un responsable du traitement à l'autre lorsque cela est techniquement possible.
3)L'exercice du droit visé au paragraphe 1 du présent article est sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une
mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
Le droit visé au paragraphe 1 ne doit pas porter atteinte aux droits et libertés d'autrui.

DROIT  Il est exercé conformément aux articles 21 et 22 des ME .

D'OPPOSITION
Art. 18 Article 21 Droit d'opposition

1.la personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère
personnel la concernant, y compris un profilage sur la base de ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à
moins qu'il ne puisse démontrer l'existence de motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, les droits et les libertés de la
personne concernée, ou pour la formulation, l'exercice ou la défense de réclamations.
2)Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer à tout moment au
traitement des données à caractère personnel la concernant, y compris au profilage dans la mesure où il est lié à ce marketing.
3.lorsque la personne concernée s'oppose au traitement à des fins de marketing direct, les données à caractère personnel ne sont plus traitées à ces fins.
4)Au plus tard lors de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement mentionné à la personne
concernée et est présenté clairement et séparément de toute autre information.
5)Dans le cadre de l'utilisation des services de la société de l'information, et par dérogation à la directive 2002/58/CE, la personne concernée peut exercer son
droit d'opposition par des moyens automatisés appliquant des spécifications techniques.
6.Lorsquedes données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article
89, paragraphe 1, la personne concernée a le droit de s'opposer, pour des raisons tenant à sa situation particulière, au traitement des données à caractère
personnel la concernant, à moins que le traitement ne soit nécessaire à l'exécution d'une mission effectuée pour des raisons d'intérêt public.
Article 22 Décisions individuelles automatisées, y compris le profilage
1)Toute personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui
produit des effets juridiques à son égard ou qui l'affecte de manière significative de façon similaire.

10
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

Leparagraphe 1 ne s'applique pas si la décision :

 (a)est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ;
 (b)est autorisé par le droit de l'Union ou le droit d'un É tat membre qui s'applique au responsable du traitement et qui prévoit également des mesures
appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
 (c)est fondée sur le consentement explicite de la personne concernée.

3)Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement prend les mesures appropriées pour sauvegarder les droits et libertés et les
intérêts légitimes de la personne concernée, au moins le droit d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point
de vue et de contester la décision.
4)Les décisions visées au paragraphe 2 ne sont pas fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à
moins que l'article 9, paragraphe 2, points a) ou g), ne s'applique et que des mesures appropriées n'aient été prises pour sauvegarder les droits et libertés et les
intérêts légitimes de la personne concernée.

TITRE IX - RÉGIME DES SANCTIONS

 Les personnes responsables du traitement.
 Les personnes chargées du traitement.
PARTIES
S'applique à  Les représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis sur le territoire de l'UE.
RESPONSABLES
 Organismes de certification
Art. 70
 Organismes de contrôle du code de conduite accrédités
Ne s'applique pas à  Délégué à la protection des données
LES INFRACTIONS  Pour les infractions aux dispositions suivantes : (Para. 5)
TRÈS GRAVES
SONT SOUMISES À (a)les principes de base du traitement, y compris les conditions du consentement
UN DÉLAI DE (b) les droits des personnes concernées
PRESCRIPTION (c) les transferts de données à caractère personnel àun destinataire situé dans un pays tiers ou à une organisation internationale
DE TROIS ANS. (d)toute obligation découlant de la législation des États membres adoptée en vertu du chapitre IX ;
Art. 72 (e) lenon-respect d'une décision ou d'une limitation temporaire ou définitive du traitement ou la suspension des flux de données par l'autorité de
contrôle, ou le non-respect de l'accès.
AMENDES
ADMINISTRATIVES  Pour non-respect des décisions de l'autorité de contrôle(Apt.6)
D'UN MONTANT N a)Le traitement des données personnelles en violation des principes et garanties.
'EXCÉDANT PAS b)le traitement de données à caractère personnel sans qu'aucune des conditions de licéité du traitement ne soit remplie.
20.000.000 ou, c) lenon-respect des conditions de validité de l'autorisation.
dans le cas d'une
d) l'utilisation des données pour une finalité incompatible avec celle pour laquelle elles ont été collectées, sans le consentement de la personne
entreprise, d'un

11
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

concernée ou sans base légale.

e)le traitement des données à caractère personnel des catégories, sans l'existence d'aucune des circonstances prévues dans la disposition
susmentionnée.
(f)le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions ou à des mesures de sû reté
connexes en dehors des cas autorisés.
g)le traitement de données à caractère personnel relatives à des infractions et sanctions administratives en dehors des cas autorisés.
h)l'omission de l'obligation d'informer la personne concernée du traitement de ses données à caractère personnel
(i) Violation du devoir de confidentialité.
j)La demande de paiement d'une redevance, en dehors des cas établis.
(k) le fait d'entraver ou de faire obstacle à l'exercice de ses droits ou de s'en abstenir de manière répétée.
montant
(l) letransfert international de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, en
n'excédant pas 4 l'absence de garanties, d'exigences ou d'exceptions.
% du chiffre (m) lenon-respect des décisions prises par l'autorité chargée de la protection des données
d'affaires annuel n) lenon-respect de l'obligation de blocage des données prévue à l'article 32 de la présente loi organique, lorsque cette obligation est
total réalisé au exécutoire.
cours de l'exercice (ñ)ne pas donner au personnel de l'autorité compétente en matière de protection des données l'accès aux données à caractère personnel, aux
précédent, LE informations, aux locaux, à l'équipement et aux moyens de traitement dont l'autorité de protection des données a besoin pour l'exercice de ses
MONTANT LE pouvoirs d'enquête.
PLUS É LEVÉ étant o)résister ou faire obstacle à l'exercice de la fonction d'inspection par l'autorité compétente en matière de protection des données.
retenu.
(p)l'inversion délibérée d'une procédure d'anonymisation afin de permettre la réidentification des personnes concernées.
Apt.5 - TRÈS
SÉRIEUX
INFRACTIONS Les  Consentement des mineurs en relation avec les services de la société de l'information. Art. 8
GRAVES - LE obligations de  Traitement ne nécessitant plus d'identification. Art. 11
DÉLAI DE la personne  Protection des données dès la conception et par défaut. Art. 25
PRESCRIPTION responsable et  Fonctions du délégué à la protection des données : Art.39
EST DE 2 ANS. de la personne o Informer et conseiller le responsable du traitement ou le sous-traitant et les employés concernés.
Art. 73 en charge en o Contrôler le respect des dispositions de la présente RS et des autres dispositions de l'UE en matière de protection des
ce qui données
AMENDES concerne la o Conseils sur l'évaluation de l'impact de la protection des données et suivi de sa mise en œuvre
ADMINISTRATIVES
D'UN MONTANT o Coopérer avec l'autorité de contrôle.
MAXIMAL DE o servir de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation
10.000.000 ou, de l'autorité de contrôle par le responsable du traitement avant la mise en œuvre, lorsqu'une analyse d'impact montre
dans le cas d'une que le traitement présenterait un risque élevé si aucune mesure d'atténuation n'était prise.
entreprise, d'un  Vers la certification. Art. 42
montant équivalent o Elle sera volontaire et disponible dans le cadre d'une procédure transparente.
à un maximum de o Il est délivré par :
2% du chiffre  Par les organismes de certification. Art. 43. Ils seront accrédités par :

12
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

d'affaires annuel - L'autorité de contrôle

total cumulé de - Ou l'organisme national d'accréditation
l'exercice - Ou les deux
précédent, LE PLUS  Ou par l'autorité de surveillance compétente
É LEVÉ DES  Ou par le Comité. Si les critères sont approuvés par le comité, ils pourraient donner lieu à une certification
MONTANTS étant commune : le SCEAU EUROPÉEN DE PROTECTION DES DONNÉES.
retenu. o Il est délivré à un dirigeant ou à un responsable pour une PÉRIODE MAXIMALE DE 3 ANS et peut être renouvelé dans les
Apt.4 mêmes conditions si les critères pertinents continuent d'être remplis.
o Le COMITÉ archive tous les mécanismes de certification et les sceaux et marques de protection des données dans un
registre et les met à la disposition du public par tout moyen approprié.

 Obligations des organismes de certification

Les obligations  dans la surveillance des codes de conduite par un organisme qui possède le niveau d'expertise approprié par rapport à l'objet du
de l'autorité de code et qui a été accrédité à cette fin par l'autorité de surveillance compétente. Si cet organisme prend des mesures appropriées
contrôle en cas de violation du code de conduite, il en informe l'autorité compétente.
a)Le traitement de données à caractère personnel d'un mineur sans obtenir son consentement, lorsqu'il a la capacité de le faire, ou celui du titulaire de
l'autorité parentale ou de la tutelle.
b)L'absence de démonstration que des efforts raisonnables ont été déployés pour vérifier la validité du consentement donné par un mineur ou par le titulaire
de l'autorité parentale ou de la tutelle sur le mineur.
c) lefait d'entraver ou de faire obstacle à l'exercice des droits d'accès, de rectification, d'effacement, de limitation du traitement ou de portabilité des données,
ou de s'abstenir de manière répétée de les exercer, dans le cadre de traitements pour lesquels l'identification de la personne concernée n'est pas requise,
lorsque la personne concernée, pour exercer ces droits, a fourni des informations supplémentaires permettant de l'identifier.
d) ledéfaut d'adoption des mesures techniques et organisationnelles appropriées pour appliquer efficacement les principes de la protection des données dès
la conception, ainsi que le défaut d'intégration des garanties nécessaires dans le traitement.
(e) l'absence de mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les donné es à caractè re personnel
né cessaires à chacune des finalité s spécifiques du traitement sont traitées.
(f) lefait de ne pas prendre les mesures techniques et organisationnelles approprié es pour assurer un niveau de sé curité adapté au risque pré senté par
le traitement, comme l'exige l'article 32, paragraphe 1, du rè glement (UE) 2016/679.
(g)la violation, en raison d'un manque de diligence, des mesures techniques et organisationnelles mises en œuvre.
h) lenon-respect de l'obligation de dé signer un représentant du responsable du traitement ou du sous-traitant qui n'est pas é tabli sur le territoire de
l'Union européenne.
(i) l'absence de réponse du repré sentant dans l'Union du responsable du traitement ou du sous-traitant aux demandes formulées par l'autorité de
protection des donné es ou par les personnes concernées.
(j)l'embauche par le responsable du traitement d'un sous-traitant qui ne fournit pas de garanties suffisantes pour mettre en œuvre les mesures
techniques et organisationnelles appropriées conformément au chapitre IV durèglement (UE) 2016/679.
k)confier le traitement des données à un tiers sans la conclusion préalable d'un contrat ou d'un autre acte juridique écrit avec le contenu requis.
l) lefait pour un sous-traitant de sous-traiter à d'autres sous-traitants sans l'autorisation préalable du responsable du traitement, ou sans avoir
informé le responsable du traitement des modifications apporté es à la sous-traitance lorsque la loi l'exige.
(m)violation par un sous-traitant de la dé termination des finalité s et des moyens du traitement.

13
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

(n)ne pas disposer d'un registre des activité s de traitement.

ñ ) lefait de ne pas mettre le registre des activités de traitement à la disposition de l'autorité chargé e de la protection des donné es sur demande.
(o) lemanque de coopération avec les autorité s de contrô le dans l'exercice de leurs fonctions.
p)le traitement de données à caractè re personnel sans é valuation pré alable des élé ments mentionnés à l'article 28 de la pré sente loi organique.
(q)manquement à l'obligation du sous-traitant de notifier au responsable du traitement les violations de la sécurité dont le sous-traitant a
connaissance.
(r) l'absence de notification à l'autorité chargée de la protection des donné es d'une violation de donné es à caractè re personnel.
(s) lefait de ne pas notifier à la personne concerné e une violation de la sécurité des donné es si l'autorité de protection des donné es a demandé au
responsable du traitement de le faire
(t)traiter des données à caractè re personnel sans avoir procé dé à une é valuation de l'impact des opé rations de traitement sur la protection des
donné es à caractère personnel.
(u) letraitement de donné es à caractè re personnel sans consultation pré alable de l'autorité chargée de la protection des données dans les cas où cette
consultation est requise.
v) lenon-respect de l'obligation de dé signer un dé légué à la protection des donné es lorsque cette dé signation est requise.
(w)ne pas permettre la participation effective du délé gué à la protection des données à toutes les questions relatives à la protection des donné es à
caractè re personnel, ne pas le soutenir ou entraver l'exercice de ses fonctions.
x)L'utilisation d'un sceau ou d'une certification de protection des données qui n'a pas été accordé par un organisme de certification dû ment accrédité
ou lorsque la validité du sceau ou de la certification a expiré.
y)Obtenir l'accréditation en tant qu'organisme de certification en soumettant des informations inexactes sur le respect des exigences.
z) l'exercice de fonctions réservé es aux organismes de certification, sans avoir été dû ment accrédités.
aa)Le non-respect des principes et obligations par un organisme de certification.
ab) l'exercice de fonctions réservé es aux organes de contrô le du code de conduite sans avoir é té pré alablement accré dité par l'autorité compétente en
matière de protection des données.
(ac) l'incapacité des organismes de surveillance agréé s à prendre des mesures approprié es en cas de violation du code de conduite

INFRACTIONS
MINEURES Les autres violations de nature purement formelle des articles visés aux paragraphes 4 et 5 de l'art. 83 du règlement d'exemption et, en particulier,
SONT PRESCRITS ce qui suit :
APRÈS UN AN
a)Défaut de fournir toutes les informations requises.
Art. 74 b) l'exigence du paiement d'une redevance pour fournir à la personne concernée les informations requises ou pour répondre aux demandes d'exercice de ses
droits, lorsque l'article 12, paragraphe 5, le permet, si le montant de la redevance excède le montant des coû ts encourus pour fournir les informations ou
effectuer l'action demandée.
c)L'absence de réponse aux demandes d'exercice des droits établis auxarticles 15 à 22 du règlement (UE) 2016/679, à moins que les dispositions de l'article
72.1.k) de la présente loi organique ne s'appliquent.
d ) le non-respect des droits d'accès, de rectification, d'effacement, de limitation du traitement ou de portabilité des données dans les traitements où
l'identification de la personne concernée n'est pas requise, lorsque la personne concernée, pour l'exercice de ces droits, a fourni des informations
supplémentaires permettant son identification, à moins que les dispositions de l'article 73 c) de la présente loi organique ne soient applicables.d) Le non-
respect des droits d'accès, de rectification, d'effacement, de limitation du traitement ou de portabilité des données dans les traitements où l'identification de la

14
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

personne concernée n'est pas requise, lorsque la personne concernée, pour l'exercice de ces droits, a fourni des informations supplémentaires permettant son
identification, à moins que les dispositions de l'article 73 c) de la présente loi organique ne soient applicables.
(e) lenon-respect de l'obligation de notification concernant la rectification ou l'effacement des données à caractère personnel ou la limitation du traitement
requis.
f) lenon-respect de l'obligation d'informer la personne concernée, lorsqu'elle en fait la demande, des destinataires auxquels ont été communiquées les
données à caractère personnel rectifiées, effacées ou dont le traitement a été limité.
g) lenon-respect de l'obligation d'effacer les données relatives à une personne décédée lorsque cela est requis.
h)l'absence de formalisation par les responsables conjoints du traitement de l'accord déterminant les obligations, fonctions et responsabilités respectives en
ce qui concerne le traitement des données à caractère personnel et leurs relations avec les personnes concernées, ou l'inexactitude de la détermination de cet
accord.
i)Absence de mise à disposition des personnes concernées des éléments essentiels de l'accord formalisé entre les responsables conjoints du traitement.
(j) lenon-respect de l'obligation du sous-traitant d'informer le responsable du traitement d'une éventuelle violation sur la base d'une instruction reçue du
responsable du traitement.
k)le non-respect par le sous-traitant des stipulations imposées dans le contrat ou l'acte juridique régissant le traitement ou les instructions du responsable du
traitement, à moins qu'il ne soit légalement tenu de le faire ou dans les cas où il est nécessaire de prévenir la violation de la législation sur la protection des
données et que le responsable du traitement ou le sous-traitant en a été informé.
l)disposer d'un registre des activités de traitement qui ne contient pas toutes les informations requises.
(m) lanotification incomplète, tardive ou défectueuse à l'autorité chargée de la protection des données d'informations relatives à une violation de données à
caractère personnel.
(n)Absence de documentation de toute violation de la sécurité.
ñ )Manquement à l'obligation de notifier à la personne concernée une violation de la sécurité des données qui entraîne un risque élevé pour les droits et
libertés des personnes concernées.
o)fournir des informations inexactes à l'autorité chargée de la protection des données, dans les cas où le responsable du traitement est tenu d'effectuer une
enquête préalable.
(p)ne pas publier les coordonnées du délégué à la protection des données ou ne pas les communiquer à l'autorité chargée de la protection des données,
lorsque sa nomination est requise.
(q) lefait que les organismes de certification n'informent pas l'autorité chargée de la protection des données de la délivrance, du renouvellement ou du retrait
d'une certification.
(r)le fait que les organes de contrô le accrédités d'un code de conduite n'informent pas les autorités chargées de la protection des données des mesures à
prendre en cas de violation du code.
L'INTERRUPTION
DU DÉLAI DE
- Par l'ouverture, à la connaissance de l'intéressé, de la procédure de sanction, en redémarrant la période si le dossier de sanction a été paralysé pendant plus
PRESCRIPTION
de 6 mois pour des raisons non imputables à l'auteur présumé de l'infraction.
DE L'INFRACTION.
Art. 75
CRITÈRES Art. 83.2 de la RS. La décision relative à l'imposition d'une amende administrative et à son montant dans chaque cas individuel est dûment prise en compte
D'OBTENTION DU :
DIPLÔME (a)la nature, la gravité et la durée du manquement, en tenant compte de la nature, de la portée ou de la finalité du traitement concerné ainsi que du nombre de
Art. 76 personnes concernées et du niveau de préjudice qu'elles ont subi ;
(b) l'intention ou la négligence dans l'infraction ;

15
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

(c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer les dommages subis par les personnes concernées ;
(d) ledegré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques ou organisationnelles qu'ils ont mises en œuvre
conformément aux articles 25 et 32 ;
(e)toute infraction antérieure commise par le responsable du traitement ou le sous-traitant ;
(f)le degré de coopération avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuelles conséquences négatives ;
(g)les catégories de données à caractère personnel concernées par la violation ;
(h)la manière dont l'autorité de contrôle a eu connaissance de la violation, en particulier si et dans quelle mesure la violation a été notifiée par le responsable du
traitement ou le sous-traitant ;
(i) lorsque les mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné
pour la même affaire, le respect de ces mesures ;
(j) l'adhésion à des codes de conduite conformément à l'article 40 ou à des systèmes de certification approuvés conformément à l'article 42 ; et
(k)tout autre facteur aggravant ou atténuant applicable aux circonstances de l'espèce,tel que le gain financier ou la perte évitée, directement ou indirectement, grâce à
l'infraction.
Conformément à l'article 83, paragraphe 2, point k), du règlement (UE) 2016/679, ils peuvent également être pris en compte :
a)Le caractère continu de l'infraction.
b)le lien entre l'activité de l'auteur de l'infraction et le traitement des données à caractère personnel.
(c) lesbénéfices réalisés grâ ce à la commission de l'infraction.
(d) lapossibilité que le comportement de la personne concernée ait pu conduire à la commission de l'infraction.
(e)l'existence d'un processus de fusion par absorption postérieur à la commission de l'infraction, qui ne peut être imputé à l'entité absorbante.
f)Affectant les droits des mineurs.
(g)disposer, si ce n'est pas obligatoire, d'un délégué à la protection des données.
h) lasoumission par le responsable du traitement ou le sous-traitant, sur une base volontaire, à des mécanismes alternatifs de règlement des litiges, dans les
cas où des litiges les opposent à toute partie intéressée.
 Le cas échéant, les autres mesures correctives visées à l'article 5 peuvent être prises en complément ou en alternance avec les autres mesures correctives
visées à l'article 5. 83.2.
 DANS LE BOE: L'identification de l'auteur de l'infraction et de l'infraction commise.
PUBLICATION
 SI L'AUTORITÉ COMPÉ TENTE EST L'EEPD
 ET LA SANCTION EST SUPÉRIEURE À 1.000.000€.
 ET QUE L'AUTEUR DE L'INFRACTION EST UNE PERSONNE MORALE
NOTE : lorsque l'autorité compétente est une autorité régionale, la réglementation applicable s'applique.
Régime Applicable à :
applicable à a) Lesorganes constitutionnels ou à valeur constitutionnelle et les institutions des Communautés autonomes qui leur sont analogues.
certaines b)Les tribunaux.
catégories de c)L'administration générale de l'É tat, les administrations des communautés autonomes et les entités qui composent l'administration locale.
responsables du d) Les organismes publics et les entités de droit public liés ou dépendant des administrations publiques.
traitement ou de (e) lesautorités administratives indépendantes.
sous-traitants f)Le Banco de Españ a.
Art. 77 g) lescorporations de droit public lorsque les finalités du traitement sont liées à l'exercice de compétences de droit public.
(h) lesfondations du secteur public.

16
 L.O. 3/2018 DU 5 DÉCEMBRE 2018 SUR LA PROTECTION DES DONNÉES PERSONNELLES

i)Universités publiques.
(j) lesconsortiums.
k)Les groupes parlementaires des Cortes Generales et des Assemblées Législatives Autonomes, ainsi que les groupes politiques des Corporations Locales.

 Lorsque l'une des personnes susmentionnées commet l'une des infractions, l'autorité compétente en matière de protection des données prend une
décision la sanctionnant par un avertissement, qui établit les mesures à adopter pour que le comportement cesse ou que les effets de l'infraction soient
corrigés.
 La décision est notifiée au :
o Au responsable du traitement
o à l'organe dont il dépend hiérarchiquement, le cas échéant
o Et les personnes concernées qui ont le statut de partie intéressée, le cas échéant.
 Sans préjudice de ce qui précède, le DPA proposera également l'ouverture d'une procédure disciplinaire lorsqu'il existe des preuves suffisantes pour le
faire. Cette procédure et ses sanctions sont appliquées conformément au régime disciplinaire ou de sanction applicable.
 Lorsque les infractions sont imputables aux AUTORITÉ S ET AUX DIRECTEURS et que l'existence de rapports techniques ou de recommandations de
traitement qui n'ont pas été dû ment suivis est accréditée, la résolution indiquant la sanction comprendra un AVIS avec la POSITION DE LA PERSONNE
RESPONSABLE DE L'INFRACTION.Lorsque les infractions sont imputables aux AUTORITÉ S ET AUX DIRECTEURS et que l'existence de rapports techniques
ou de recommandations de traitement n'a pas été dû ment accréditée, la résolution indiquant la sanction comprendra un AVIS avec la POSITION DE LA
PERSONNE RESPONSABLE ET L'ORDRE DE LE PUBLIER DANS LE BOE OU LE BULLETIN AUTONOME correspondant.
 L'autorité de protection des données doit être informée des résolutions adoptées en ce qui concerne les mesures et les actions mentionnées dans les
sections précédentes.
 Les actions menées et les résolutions sont communiquées à l'OMBUDSMAN ou, le cas échéant, aux institutions analogues des régions autonomes.
 Lorsque le DPA est l'AEPD, cette dernière publie les décisions sur son SITE WEB avec la séparation qui s'impose, en indiquant expressément l'identité du
responsable du traitement ou du sous-traitant incriminé.
 Lorsque la compétence correspond à une AUTORITÉ AUTONOME : la publicité se fera selon ses règles spécifiques.

Montant inférieur ou égal à 40 000 euros Par an

DÉLAI DE Entre 40.0001 et 300.000€. À l'â ge de 2 ans
PRESCRIPTION Montant supérieur à 300 000 euros À l'â ge de 3 ans
DES SANCTIONS  Le délai commence à courir le jour suivant celui où la décision de sanction devient exécutoire ou celui où le délai de recours a expiré.
Art. 78  Il est interrompu par l'ouverture, à la connaissance de l'intéressé, de la procédure d'exécution, et le délai recommence à courir si celle-ci est paralysée
pendant plus de 6 MOIS pour des raisons NON IMPUTABLES À L'INFRACTEUR.

17