Décret-loi n° 196 du 30 juin 2003 - Code en matière de protection des données personnelles. Entrée en vigueur : 27 février 2004 - Consolidé par la loi n° 45 du 26 février 2004, portant conversion avec modifications de l'article 3 du décret-loi n° 354 du 24 décembre 2003.

LE PRESIDENT DE LA REPUBLIQUE

VU les articles 76 et 87 de la Constitution;

VU l'article 1 de la loi n° 127 du 24 mars 2001, portant délégation au Gouvernement pour la promulgation d'un texte unique en matière de traitement des données personnelles ;

VU l'article 26 de la loi n° 14 du 3 février 2003, portant dispositions pour l'exécution d'obligations découlant de l'appartenance de l'Italie aux Communautés européennes (loi communautaire 2002) ;

VU la loi n° 675 du 31 décembre 1996, telle que modifiée ;

VU la loi n° 676 du 31 décembre 1996, portant délégation au Gouvernement en matière de protection des personnes et autres sujets par rapport au traitement des données personnelles ;

VU la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques en ce qui concerne le traitement des données personnelles, ainsi que la libre circulation des données ;

VU la Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, relative au traitement des données personnelles et à la protection de la vie privée dans le secteur des communications électroniques ;

VU la délibération préliminaire du Conseil des ministres, adoptée lors de la réunion du 9 mai 2003 ;

ENTENDU le Garant pour la protection des données personnelles ;

ENTENDU l'avis des Commissions parlementaires compétentes de la Chambre des députés du Sénat de la République ;

VU la délibération du Conseil des ministres, adoptée lors de la réunion du 27 juin 2003 ;

SUR PROPOSITION du Président du Conseil des ministres, du ministre de la Fonction publique et du ministre des Politiques communautaires, de concert avec les ministres de la Justice, de l'Economie et des Finances, des Affaires étrangères et des Communications ;

PROMULGUE le décret-loi suivant :

PARTIE I - DISPOSITIONS GENERALES. Titre I - PRINCIPES GENERAUX

Art. 1. Droit à la protection des données personnelles
1. Chacun a droit à la protection des données personnelles le concernant.

Art. 2. Finalités
1. Le présent texte unique, dénommé ci-après "code", garantit que le traitement des données personnelles se déroule dans le respect des droits et des libertés fondamentales, ainsi que de la dignité de l'intéressé, en particulier en ce qui concerne la confidentialité, l'identité personnelle et le droit à la protection des données personnelles.

2. Le traitement des données personnelles est régi en assurant un niveau élevé de protection des droits et des libertés visés au paragraphe 1, dans le respect des principes de simplification, d'harmonisation et d'efficacité des modalités prévues pour leur exercice par les intéressés, ainsi que pour l'exécution des obligations par les titulaires du traitement.

Art. 3. Principe de nécessité dans le traitement des données
1. Les systèmes informatiques et les programmes informatiques sont configurés en réduisant au minimum l'utilisation de données personnelles et de données d'identification, de façon à en exclure le traitement quand les finalités poursuivies dans les différents cas peuvent être réalisées au moyen, respectivement, de données anonymes ou de modalités appropriées permettant de n'identifier l'intéressé qu'en cas de nécessité.

Art. 4. Définitions. 1. Aux effets du présent code, il faut entendre par :

a) "traitement", toute opération ou ensemble d'opérations, effectués même sans avoir recours à des instruments électroniques, concernant la collecte, l'enregistrement, l'organisation, la conservation, la consultation, l'élaboration, la modification, la sélection, l'extraction, la comparaison, l'utilisation, l'interconnexion, le blocage, la communication, la diffusion, la suppression et la destruction de données, même si elles ne sont pas enregistrées dans une base de données ;

b) "donnée personnelle", toute information relative à une personne physique, personne juridique, organisme ou association, identifiés ou identifiables, y compris indirectement, par référence à toute information, y compris un numéro d'identification personnelle ;

c) "données d'identification", les données personnelles qui permettent l'identification directe de l'intéressé ;

d) "données sensibles", les données personnelles propres à révéler l'origine raciale et ethnique, les convictions religieuses, philosophies ou d'autre nature, les opinions politiques, l'adhésion à des partis, syndicats, associations ou organisations à caractère religieux, philosophie, politique ou syndical, ainsi que les données personnelles propres à révéler l'état de santé et la vie sexuelle ;

e) "données judiciaires", les données personnelles propres à révéler des mesures visées à l'article 3, paragraphe 1, alinéas a) à o) et r) à u), du D.P.R. n° 313 du 14 novembre 2002, en matière de casier judiciaire, de registre des sanctions administratives relatives à des délits et des charges pendantes correspondantes, ou la qualité d'imputé ou de prévenu aux termes des articles 60 et 61 du Code de procédure pénale ;

f) "titulaire", la personne physique, la personne juridique, l'administration publique et toute autre entité, association ou organisme dont relèvent, y compris conjointement à un autre titulaire, les décisions relatives aux finalités, aux modalités du traitement de données personnelles et aux instruments utilisés, y compris du point de vue de la sécurité ;

g) "responsable", la personne physique, la personne juridique, l'administration publique et toute autre entité, association ou organisme chargés par le titulaire du traitement de données personnelles ;

h) "préposés", les personnes physiques autorisées à effectuer les opérations de traitement par le titulaire ou par le responsable ;

i) "intéressé", la personne physique, la personne juridique, l'entité ou l'association à laquelle se rapportent les données personnelles ;

l) "communication", le fait de porter les données personnelles à la connaissance d'une ou plusieurs personnes déterminées autres que l'intéressé, le représentant du titulaire sur le territoire de l'Etat, le responsable et les préposés, sous quelque forme que ce soit, y compris par mise à disposition ou consultation ;

m) "diffusion", le fait de porter les données personnelles à la connaissance d'une ou plusieurs personnes indéterminées, sous quelque forme que ce soit, y compris par mise à disposition ou consultation ;

n) "donnée anonyme", la donnée qui, à l'origine, ou par suite d'un traitement, ne peut pas être associée à un intéressé identifié ou identifiable ;

o) "blocage", la conservation de données personnelles avec suspension temporaire de toute autre opération de traitement ;

p) "base de données", tout ensemble organisé de données personnelles, réparti sur une ou plusieurs unités situées sur un ou plusieurs sites ;

q) "Garant", l'autorité visée par l'article 153, instituée par la loi n° 675 du 31 décembre 1996.

2. Aux effets du présent code, il faut par ailleurs entendre par :

a) "communication électronique", toute information échangée ou transmise entre un nombre fini de personnes au moyen d'un service de communication électronique accessible au public. Sont exclues toutes les informations transmises au moyen d'un réseau de communication électronique, dans le cadre d'un service de radiodiffusion, sauf si ces informations sont liées à un abonné ou utilisateur récepteur, identifié ou identifiable ;

b) "appel", la connexion mise en place par un service téléphonique accessible au public, permettant la communication bidirectionnelle en temps réel ;

c) "réseaux de communication électronique", les systèmes de transmission, les appareils de commutation ou d'acheminement et autres ressources permettant de transmettre des signaux par câble, par radio, au moyen de fibres optiques ou par d'autres moyens électromagnétiques, y compris les réseaux satellitaires, les réseaux terrestres mobiles et fixes à commutation de circuit et à commutation de paquet, y compris Internet, les réseaux utilisés pour la diffusion circulaire des programmes sonores et télévisés, les systèmes de transport du courant électrique, dans la mesure où ils sont utilisés pour transmettre les signaux, les chaînes télévisés par câble, indépendamment du type d'information transporté ;

d) "réseau public de communications", un réseau de communications électroniques utilisé entièrement ou principalement pour fournir des services de communication électronique accessibles au public ;

e) "service de communication électronique", les services consistant exclusivement ou principalement dans la transmission de signaux sur des réseaux de communications électroniques, y compris les services de transmission sur les réseaux utilisés pour la diffusion circulaire radiotélévisée, dans les limites prévues par l'article 2, alinéa c), de la Directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002 ;

f) "abonné", toute personne physique, personne juridique, entité ou association prenant part à un contrat avec un fournisseur de services de communication électronique accessibles au public pour la fourniture de ces services, ou en général destinataire de ces services au moyen de cartes prépayées ;

g) "utilisateur", toute personne physique utilisant un service de communication électronique accessible au public, pour des motifs privés ou commerciaux, sans y être nécessairement abonnée ;

h) "données relatives au trafic", toute donnée soumise à un traitement aux effets de la transmission d'une communication sur un réseau de communication électronique ou de sa facturation ;

i) "données relatives à la localisation", toute donnée traitée sur un réseau de communication électronique indiquant la position géographique du terminal de l'utilisateur d'un service de communication électronique accessible au public ;

l) "service à valeur ajoutée", le service nécessitant le traitement des données relatives au trafic ou des données relatives à la localisation autres que les données relatives au trafic, en plus de ce qui est nécessaire pour la transmission d'une communication ou sa facturation ;

m) "courrier électronique", des messages contenant des textes, voix, sons ou images transmis à travers un réseau public de communication, qui peuvent être stockes en archives sur le réseau ou le terminal récepteur, jusqu'à ce que le récepteur en ait pris connaissance.

3. Aux effets du présent code, il faut par ailleurs entendre par :

a) "mesures minimales", l'ensemble des mesures techniques, informatiques, organisationnelles, logistiques et procédurales de sécurité qui configurent le niveau moyen de protection requis en relation aux risques prévus par l'article 31 ;

b) "instruments électroniques", les ordinateurs, les programmes pour ordinateurs et tout dispositif électronique ou en général automatisé permettant d'effectuer le traitement ;

c) "authentification informatique", l'ensemble des instruments électroniques et des procédures de vérification, même indirecte, de l'identité ;

d) "moyens d'authentification", les données et les dispositifs, en possession d'une personne, connus de celle-ci ou reliées à elle de façon univoque, utilisés pour l'authentification informatique ;

e) "mot-clef", composante d'un moyen d'authentification associée à un personne et connue de celle-ci, constituée d'une séquence de caractères ou d'autres données sous forme électronique ;

f) "profil d'autorisation", l'ensemble des informations, associées de façon univoque à une personne, qui permettent d'identifier à quelles données elle peut accéder, ainsi que les traitements auxquels elle est autorisée ;

g) "système d'autorisation", l'ensemble des instruments et des procédures habilitant l'accès aux données et aux modalités de traitement de ces dernières, en fonction du profil d'autorisation du demandeur.

4. Aux effets du présent code, il faut entendre par :

a) "buts historiques", les finalités d'étude, d'enquête, de recherche et de documentation de figures, faits et circonstances du passé ;

b) "buts statistiques", les finalités d'enquête statistique ou de production de résultats statistiques, y compris au moyen de systèmes informatiques statistiques ;
c) "buts scientifiques", les finalités d'étude et d'enquête systématique finalisée au développement des connaissances scientifiques dans un secteur spécifique.

Art. 5. Objet et domaine d'application
1. Le présent code régit le traitement de données personnelles, y compris de données détenues à l'étranger, effectué par toute personne établie sur le territoire de l'Etat ou en général dans un lieu assujetti à la souveraineté de l'Etat.

2. Le présent code s'applique également au traitement de données personnelles effectué par toute personne établie sur le territoire d'un pays non membre de l'Union Européenne et employant, pour le traitement, des instruments situés sur le territoire de l'Etat, y compris autres que des instruments électroniques, sauf s'ils sont utilisés uniquement à des fins de transit sur le territoire de l'Union Européenne. En cas d'application du présent code, le titulaire du traitement désigne un représentant établi sur le territoire de l'Etat aux effets de l'application de la réglementation en matière de traitement des données personnelles.

3. Le traitement de données personnelles effectué par des personnes physiques à des fins exclusivement personnelles est soumis à l'application du présent code uniquement si les données sont destinées à une communication systématique ou à la diffusion. Sont applicables de toute façon les dispositions en matière de responsabilité et de sécurité des données énoncées par les articles 15 et 31.

Art. 6. Dispositions régissant le traitement
1. Les dispositions énoncées dans la présente Partie s'appliquent à tous les traitements de données, sous réserve des dispositions complémentaires ou modificatives de la Partie II relatives à certains traitements.



Titre II - DROITS DE L'INTERESSE


Art. 7. Droit d'accès aux données personnelles et autres droits
1. L'intéressé a le droit d'obtenir la confirmation de l'existence ou non de données personnelles le concernant, même si elles ne sont pas encore enregistrées, et leur communication sous une forme intelligible.

2. L'intéressé a le droit d'obtenir l'indication :

a) de l'origine des données personnelles ;

b) des objectifs et des modalités du traitement ;

c) de la logique appliquée en cas de traitement effectué à l'aide d'outils électroniques ;

d) de l'identité du titulaire, des responsables et du représentant désigné aux termes de l'article 5, paragraphe 2 ;

e) des personnes ou des catégories de personnes auxquelles les données personnelles peuvent être communiquées ou qui peuvent en prendre connaissance en qualité de représentant désigné sur le territoire de l'Etat, de responsables ou de préposés.

3. L'intéressé a le droit d'obtenir :

a) la mise à jour, la rectification ou bien, quand il y a intérêt, la complémentation des données ;

b) l'effacement, l'anonymisation ou le blocage des données traitées de façon contraire à la loi, y compris celles dont la conservation n'est pas nécessaire eu égard aux buts pour lesquels les données ont été collectées ou ultérieurement traitées ;

c) l'attestation que les opérations visées en a) et b) ont été portées à la connaissance, y compris en ce qui concerne leur contenu, de ceux auxquels les données ont été communiquées ou diffusées, sauf si cela se révèle impossible ou comporte un emploi de moyens manifestement disproportionné par rapport au droit protégé.

4. L'intéressé a le droit de s'opposer, totalement ou partiellement :

a) pour des motifs légitimes, au traitement des données personnelles le concernant, même si elles ont trait au but de la collecte ;

b) au traitement de données personnelles le concernant aux fins d'envoi de matériel publicitaire ou de vente directe, ou pour la réalisation d'enquêtes de marché ou de communication commerciale.

Art. 8. Exercice des droits
1. Les droits visés par l'article 7 sont exercés par une demande adressée sans formalités au titulaire ou au responsable, y compris par l'intermédiaire d'un représentant, à laquelle il est répondu sans délais.

2. Les droits visés par l'article 7 ne peuvent pas être exercés par demande au titulaire ou au responsable ou par recours aux termes de l'article 145, si les traitements de données personnelles sont effectués :

a) en vertu des dispositions du décret loi n° 143 du 3 mai 1991, converti, avec des modifications, par la loi n° 197 de juillet 1991, telle que modifiée, en matière de blanchiment ;

b) en vertu des dispositions du décret loi n° 419 du 31 décembre 1991, converti, avec des modifications, par la loi n° 172 du 18 février 1991, telle que modifiée, en matière de soutien aux victimes d'extorsions ;

c) par des Commissions parlementaires d'enquête instituées aux termes de l'article 82 de la Constitution ;

d) par un organisme public, autre que les organismes publics économiques, en vertu de dispositions législatives expresses, exclusivement à des fins afférentes à la politique monétaire, au système des paiements, au contrôle des intermédiaires et des marchés bancaires et financiers, ainsi qu'à la protection de leur stabilité ;

e) aux termes de l'article 24, paragraphe 1, alinéa f), limitativement à la période pendant laquelle il pourrait en résulter un préjudice effectif et concret pour le déroulement des enquêtes défensives ou pour l'exercice du droit en justice ;

f) par les fournisseurs de services de communication électronique accessibles au public relativement à des communications téléphoniques entrantes, sauf s'il peut en résulter un préjudice effectif et concret pour le déroulement des enquêtes de défenses visées par la loi n° 397 du 7 décembre 2000 ;

g) pour des raisons de justice, auprès des services judiciaires de toute juridiction et instance ou du Conseil supérieur de la magistrature ou d'autres organes d'autogouvernement ou du ministère de la Justice ;

h) aux termes de l'article 53, sous réserve des dispositions de la loi n° 121 du premier avril 1981.

3. Le Garant, le cas échéant sur communication de l'intéressé, dans les cas visés par le paragraphe 2, alinéas a), b), d), e) et f), intervient selon les modalités prévues par les articles 157, 158 et 159 et, dans les cas visés par les alinéas c), g) et h) du dit paragraphe, intervient selon les modalités prévues par l'article 160.

4. L'exercice des droits visés par l'article 7, quand il ne concerne pas des données à caractère objectif, peut avoir lieu, sauf s'il porte sur la rectification ou la complémentation des données personnelles de type évaluatif, relatives à des jugements, opinions ou autres appréciations de type subjectif ou l'indication de conduites à adopter ou de décisions en cours d'adoption par le titulaire du traitement.


Art. 9. Modalités d'exercice 
1. La demande adressée au titulaire ou au responsable peut être transmise également par lettre recommandée, télécopie ou courrier électronique. Le Garant peut définir un autre système approprié en référence à de nouvelles solutions technologiques. Quand elle concerne l'exercice des droits visés par l'article 7, paragraphes 1 et 2, la demande peut être formulée oralement le cas échéant et, dans ce cas, elle est notée synthétiquement par le préposé ou le responsable.

2. Dans l'exercice des droits visés par l'article 7, l'intéressé peut conférer, par écrit, une délégation ou un mandat à des personnes physiques, entités, associations ou organismes. L'intéressé peut également se faire assister d'une personne de confiance.

3. Les droits visés par l'article 7 relatifs à des données personnelles concernant des personnes décédées peuvent être exercés par une personne y ayant un intérêt personnel ou agissant en vue de la protection de l'intéressé ou pour des raisons familiales dignes de protection.

4. L'identité de l'intéressé est vérifiée sur la base d'éléments d'évaluation appropriés, y compris au moyen d'actes ou de documents disponibles ou par présentation ou fourniture d'une copie d'un document d'identité. La personne qui agit pour le compte de l'intérêt présente ou fournit une copie du mandat ou de la délégation signée en présence d'un préposé ou signée et présentée conjointement à une copie photostatique, non authentifiée, d'un document d'identité de l'intéressé. Si l'intéressé est une personne juridique, une entité ou une association, la demande est présentée par la personne physique légitimée aux termes des statuts ou règlements.

5. La demande visée par l'article 7, paragraphes 1 et 2, est formulée librement et sans contraintes et elle peut être renouvelée, sauf en cas de motifs justifiés, dans un délai minimum de quatre-vingt-dix jours.


Art. 10. Réponse à l'intéressé
1. Pour assurer l'exercice effectif des droits visés par l'article 7, le titulaire du traitement est tenu d'adopter des mesures appropriées, visant notamment :

a) à faciliter l'accès aux données personnelles par l'intéressé, y compris au moyen de programmes informatiques spéciaux destinés à une sélection précise des données concernant les différents intéressés identifiés ou identifiables ;

b) à simplifier les modalités et à réduire les délais de réponse au demandeur, y compris dans le cadre de bureaux ou de services préposés aux relations avec le public.

2. Les données sont extraites par le responsable ou des préposés et peuvent être communiquées au demandeur y compris oralement ou bien présentées au moyen d'instruments électroniques, à condition que dans ces cas la compréhension des données soit aisée, eu égard également à la qualité et à la quantité des informations. Si la demande en est faite, il est procédé à la transposition des données sur support papier ou informatique, ou bien à leur transmission par voie télématique.

3. Sauf si la demande porte sur un traitement particulier ou sur des données personnelles ou catégories de données personnelles spécifiques, la réponse à l'intéressé comprend toutes les données personnelles concernant l'intéressé traitées par le titulaire. Si la demande s'adresse à une personne exerçant une profession de santé ou à un organisme de santé, les dispositions de l'article 84, paragraphe 1 s'appliquent.

4. Quand l'extraction des données se révèle particulièrement difficile, la réponse à la demande peut se faire le cas échéant par présentation ou remise sous forme de copies d'actes ou de documents contenant les données personnelles demandées.

5. Le droit d'obtenir la communication sous forme intelligible des données ne concerne pas les données personnelles relatives à des tiers, sauf si la décomposition des données traitées ou l'enlèvement de certains éléments rend incompréhensibles les données personnelles relatives à l'intéressé.

6. La communication des données est effectuée sous forme intelligible, y compris l'utilisation d'une graphie compréhensible. Dans le cas de communication des codes ou de sigles, il doit être fourni, le cas échéant par l'intermédiaire des préposés, les paramètres permettant la compréhension de leur signification.

7. Quand, par suite d'une demande présentée en vertu de l'article 7, paragraphes 1 et 2, alinéas a), b) et c), l'existence de données concernant l'intéressé n'est pas confirmée, il peut être demandé une contribution aux frais n'excédant pas les coûts effectivement supportés pour la recherche effectuée dans le cas spécifique.

8. La contribution visée par le paragraphe 7 ne peut en aucun cas excéder le montant fixé par le Garant par une mesure de caractère général, qui peut le déterminer de façon forfaitaire en relation au cas où les données sont traitées au moyen d'instruments électroniques et où la réponse est fournie oralement. Par cette même mesure, le Garant peut prévoir que la contribution puisse être demandée quand les données personnelles figurent sur un support spécial dont la reproduction est spécifiquement demandée, ou bien quand la recherche entraîne pour un ou plusieurs titulaires un emploi de moyens important en relation à la complexité ou à la quantité des demandes et que l'existence de données concernant l'intéressé est confirmée.

9. La contribution visée par les paragraphes 7 et 8 est versée par virement postal ou bancaire, ou bien par carte de paiement ou de crédit, si possible au moment de la réception de la réponse et, de toute façon, dans un délai maximum de quinze jours à compter de la dite réponse.

Titre III - REGLES GENERALES POUR LE TRAITEMENT DES DONNEES

CHAPITRE I - REGLES POUR TOUS LES TRAITEMENTS

Art. 11. Modalités du traitement et critères des données 
1. Les données personnelles faisant l'objet d'un traitement sont :

a) traitées de façon légale et correcte ;

b) collectées et enregistrées pour des buts déterminés, explicites et légitimes, et utilisées dans d'autres opérations que le traitement dans des termes compatibles avec ces buts ;

c) exactes et, si nécessaire, mises à jour ;

d) pertinentes, complètes et de nature à ne pas excéder les finalités pour lesquelles elles sont collectées ou traitées ;

e) conservées sous une forme permettant l'identification de l'intéressé pendant une durée n'excédant pas le temps nécessaire aux buts pour lesquels elles sont collectées ou traitées.

2. Les données personnelles traitées en violation de la réglementation applicable en matière de traitement des données ne peuvent pas être utilisées.

Art. 12. Codes de déontologie et de bonne conduite
1. Le Garant promeut, dans le cadre des catégories concernées, dans le respect du principe de représentativité et compte tenu des critères directifs des recommandations du Conseil de l'Europe en matière de traitement de données personnelles, la signature de codes de déontologie et de bonne conduite pour des secteurs déterminés, il en vérifie la conformité aux lois et aux règlements, y compris par l'examen d'observations de personnes intéressées, et il contribue à en assurer la diffusion et le respect.

2. Les codes sont publiés au Journal officiel de la République Italienne par les soins du Garant et, par arrêté du ministre de la Justice, ils sont incorporés à l'annexe A) du présent code.

3. Le respect des dispositions des codes visés par le paragraphe 1 constitue une condition essentielle de la légitimité et de la correction du traitement des données personnelles effectué par des sujets privés et publics.

4. Les dispositions du présent article s'appliquent également au code de déontologie pour les traitements de données à des fins journalistiques promu par le Garant selon les modalités prévues par le paragraphe 1 et par l'article 139.

Art. 13. Note d'information
1. L'intéressé ou la personne auprès de laquelle sont collectées les données personnelles sont préalablement informées, oralement ou par écrit :

a) des finalités et des modalités du traitement des données ;

b) de la nature obligatoire ou facultative de la communication des données ;

c) des conséquences d'un éventuel refus de répondre ;

d) des personnes ou des catégories de personnes auxquelles les données personnelles peuvent être communiquées ou qui en peuvent en avoir connaissance en qualité de responsables ou préposés, ainsi que du périmètre de diffusion des données en question ;

e) des droits visés par l'article 7 ;

f) de l'identité du titulaire et, s'il en a été désigné, du représentant sur le territoire de l'Etat aux termes de l'article 5 et du responsable. Quand le titulaire a désigné plusieurs responsables, au moins l'un d'entre eux doit être indiqué, en indiquant le site du réseau de communication ou les modalités selon lesquelles il est possible de connaître facilement la liste mise à jour des responsables Quand un responsable pour la réponse à l'intéressé en cas d'exercice des droits visés à l'article 7 a été désigné, ce responsable est indiqué.

2. La note d'informe visée par le paragraphe 1 contient également les éléments prévus par les dispositions spécifiques du présent code et peut ne pas inclure les éléments déjà connus de la personne qui fournit les données ou dont la connaissance peut faire obstacle concrètement à l'exercice, par une institution publique, de fonctions d'inspection ou de contrôle assurées à des fins de défense ou de sécurité de l'Etat ou bien de prévention, recherche ou répression des délits.

3. Le Garant peut définir par une mesure les modalités simplifiées pour la note d'information fournie en particulier par les services téléphoniques et d'information du public.

4. Si les données personnelles ne sont pas collectées auprès de l'intéressé, la note d'information visée par le paragraphe 1, comprenant les catégories de données traitées, est remise à l'intéressé au moment de l'enregistrement des données ou, quand leur communication est prévue, lors de la première communication au plus tard.

5. Les dispositions du paragraphe 4 ne s'appliquent pas lorsque :

a) les données sont traitées en vertu d'une obligation prévue par loi, par un règlement ou par la réglementation communautaire ;

b) les données sont traitées aux fins de l'exercice des investigations de défenses visées par la loi n° 397 du 7 décembre 2000, ou, en général, pour faire valoir ou défendre un droit en justice, à condition que les données soient traitées exclusivement pour ces finalités et pendant le temps strictement nécessaire à leur réalisation ;

c) la note d'information à l'intention de l'intéressé comporte l'emploi de moyens que le Garant, en prescrivant les mesures appropriées éventuelles, déclare manifestement disproportionnées par rapport au droit protégé, ou se révèle, de l'avis du Garant, impossible.

Art. 14. Définition de profils et de la personnalité de l'intéressé 
1. Aucun acte ou mesure judiciaire ou administrative impliquant une évaluation du comportement humain ne peut être fondé uniquement sur un traitement automatisé de données personnelles visant à définir le profil ou la personnalité de l'intéressé.

2. L'intéressé peut s'opposer à tout autre type de détermination adoptée sur la base du traitement visé par le paragraphe 1, aux termes de l'article 7, paragraphe 4, alinéa a), sauf si la détermination a été adoptée à l'occasion de la conclusion ou de l'exécution d'un contrat, par suite d'une proposition de l'intéressé ou sur la base de garanties appropriées définies par le présent code ou par une mesure du Garant, aux termes de l'article 17.

Art. 15. Préjudices causés du fait du traitement 
1. Toute personne qui cause un préjudice à d'autres personnes du fait du traitement de données personnelles est tenue de le réparer aux termes de l'article 2050 du code civil.

2. Le préjudice non patrimonial est indemnisable en cas de violation de l'article 11.

Art. 16. Cessation du traitement
1. En cas de cessation, pour quelque cause que ce soit, d'un traitement, les données sont :

a) détruites ;

b) cédées à un autre titulaire, à condition qu'elles soient destinées à un traitement dans des termes compatibles aux buts pour lesquels les données ont été collectées ;

c) conservées à des fins exclusivement personnelles et non destinées à une communication systématique ou à la diffusion ;

d) conservées ou cédées à un autre titulaire, pour des buts historiques, statistiques ou scientifiques, conformément à la loi, aux règlements, à la réglementation communautaire et aux codes de déontologie et de bonne conduite signés aux termes de l'article 12.

2. La cession des données en violation des dispositions du paragraphe 1, alinéa b), ou d'autres dispositions applicables en matière de traitement des données personnelles est nulle et non avenue.

Art. 17. Traitement présentant des risques spécifiques
1. Le traitement des données autres que les données sensibles et judiciaires présentant des risques spécifiques pour les droits et les libertés fondamentales, ainsi que pour la dignité de l'intéressé, eu égard à la nature des données ou aux modalités du traitement ou aux effets qu'il peut entraîner, est admis dans le respect de mesures et de précautions propres à garantir l'intéressé, quand elles sont prescrites.

2. Les mesures et les précautions visées par le paragraphe 1 sont prescrites par le Garant en application des principes énoncés par le présent code, dans le cadre d'une vérification préliminaire au début du traitement, effectuée également en relation à des catégories déterminées de titulaires ou de traitements, y compris par suite d'une interpellation du titulaire.