02009L0136 — FR — 21.12.2020 — 001.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
DIRECTIVE 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs (Texte présentant de l’intérêt pour l’EEE) (JO L 337 du 18.12.2009, p. 11) |
Modifiée par:
|
|
Journal officiel |
||
n° |
page |
date |
||
L 321 |
36 |
17.12.2018 |
Rectifiée par:
DIRECTIVE 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 25 novembre 2009
modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs
(Texte présentant de l’intérêt pour l’EEE)
▼M1 —————
Article 2
Modifications de la directive 2002/58/CE (directive «vie privée et communications électroniques»)
La directive 2002/58/CE (directive «vie privée et communications électroniques») est modifiée comme suit:
À l’article 1er, le paragraphe 1 est remplacé par le texte suivant:
L’article 2 est modifié comme suit:
le point c) est remplacé par le texte suivant:
“données de localisation”: toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public;»
le point e) est supprimé;
le point suivant est ajouté:
“violation de données à caractère personnel”: ◄ une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté.»
L’article 3 est remplacé par le texte suivant:
«Article 3
Services concernés
La présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics dans la Communauté, y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d'identification.»
L’article 4 est modifié comme suit:
le titre est remplacé par le texte suivant:
«Sécurité du traitement»;
le paragraphe suivant est inséré:
Sans préjudice des dispositions de la directive 95/46/CE, les mesures visées au paragraphe 1, pour le moins:
Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.»;
les paragraphes suivants sont ajoutés:
En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation.
Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.
La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
Sans préjudice de l’obligation du fournisseur d’informer les abonnés et les particuliers concernés, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, l’autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.
La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à l’autorité nationale compétente décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.
Sous réserve des mesures techniques d’application adoptées en vertu du paragraphe 5, les autorités nationales compétentes peuvent adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission. Elles doivent également être en mesure de contrôler si les fournisseurs ont satisfait aux obligations de notification qui leur incombent en vertu du présent paragraphe et infligent des sanctions appropriées si ces derniers ne s’y sont pas conformés.
Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre aux autorités nationales compétentes de vérifier le respect des dispositions du paragraphe 3. Cet inventaire comporte uniquement les informations nécessaires à cette fin.
Afin d’assurer une mise en œuvre cohérente des mesures visées aux paragraphes 2, 3 et 4, la Commission peut, après consultation de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), du groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE et du Contrôleur européen de la protection des données, adopter des mesures techniques d’application concernant les circonstances, le format et les procédures applicables aux exigences en matière d’information et de notification visées au présent article. Lors de l’adoption de ces mesures, la Commission associe toutes les parties prenantes concernées, notamment pour être informée des meilleures solutions techniques et économiques disponibles pour assurer la mise en œuvre du présent article.
Ces mesures, qui visent à modifier des éléments non essentiels de la présente directive en la complétant, sont arrêtées en conformité avec la procédure de réglementation avec contrôle visée à l’article 14 bis, paragraphe 2.»
À l’article 5, le paragraphe 3 est remplacé par le texte suivant:
Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.»
À l’article 6, le paragraphe 3 est remplacé par le texte suivant:
Afin de commercialiser des services de communications électroniques ou de fournir des services à valeur ajoutée, le fournisseur d’un service de communications électroniques accessible au public peut traiter les données visées au paragraphe 1 dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de ces services, pour autant que l’abonné ou l’utilisateur que concernent ces données ait donné son consentement préalable. Les utilisateurs ou abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données relatives au trafic.»
L’article 13 est remplacé par le texte suivant:
«Article 13
Communications non sollicitées
L’article suivant est inséré:
«Article 14 bis
Procédure de comité
À l’article 15, le paragraphe suivant est inséré:
L’article suivant est inséré:
«Article 15 bis
Mise en œuvre et contrôle de l’application
Les autorités réglementaire nationales compétentes peuvent adopter des mesures afin d’assurer une coopération transfrontalière effective dans le contrôle de l’application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers.
Les autorités réglementaires nationales fournissent à la Commission, en temps utile avant l’adoption de ces mesures, un résumé des raisons sur lesquelles se fondent leur intervention, les mesures envisagées et la démarche proposée. Après avoir examiné ces informations et consulté l’ENISA et le groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE, la Commission peut émettre des commentaires ou faire des recommandations, en particulier pour garantir que les mesures envisagées ne font pas obstacle au fonctionnement du marché intérieur. Les autorités réglementaires nationales tiennent le plus grand compte des commentaires ou recommandations de la Commission lorsqu’elles statuent sur ces mesures.»
Article 3
Modification du règlement (CE) no 2006/2004
À l’annexe du règlement (CE) no 2006/2004 («règlement relatif à la coopération en matière de protection des consommateurs»), le point suivant est ajouté:
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive “vie privée et communications électroniques”): l’article 13 (JO L 201 du 31.7.2002, p. 37).»
Article 4
Transposition
Les États membres adoptent et publient, au plus tard le 25 mai 2011, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils communiquent immédiatement à la Commission le texte de ces dispositions.
Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
Article 5
Entrée en vigueur
La présente directive entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Article 6
Destinataires
Les États membres sont destinataires de la présente directive.
▼M1 —————
ANNEXE II
«ANNEXE VI
INTEROPÉRABILITÉ DES ÉQUIPEMENTS DE TÉLÉVISION NUMÉRIQUE GRAND PUBLIC VISÉS À L’ARTICLE 24
1. Algorithme commun d’embrouillage et réception en clair
Tous les équipements grand public destinés à la réception de signaux numériques de télévision conventionnels (c’est-à-dire la diffusion terrestre, par le câble ou la transmission par satellite aux fins principalement de la réception fixe, comme DVB-T, DVB-C ou DVB-S), qui sont vendus, loués ou mis à disposition d’une quelconque autre manière dans la Communauté et qui sont capables de désembrouiller des signaux numériques de télévision doivent pouvoir:
2. Interopérabilité des récepteurs de télévision analogiques et numériques
Tout récepteur de télévision analogique équipé d’un écran d’affichage intégral d’une diagonale visible supérieure à 42 centimètres et qui est mis sur le marché à des fins de vente ou de location dans la Communauté doit être doté d’au moins une prise d’interface ouverte, normalisée par un organisme de normalisation européen reconnu, conforme, par exemple, à la norme Cenelec EN 50 049-1:1997, et permettant le raccordement simple d’équipements périphériques, et notamment de décodeurs et de récepteurs numériques supplémentaires.
Tout récepteur de télévision numérique équipé d’un écran d’affichage intégral d’une diagonale visible supérieure à 30 centimètres et qui est mis sur le marché à des fins de vente ou de location dans la Communauté doit être doté d’au moins une prise d’interface ouverte (normalisée par un organisme de normalisation européen reconnu ou conforme à une norme adoptée par un tel organisme, ou conforme à une spécification acceptée par l’ensemble du secteur industriel concerné), par exemple le connecteur d’interface commune DVB, permettant le raccordement simple d’équipements périphériques, et capable de transférer tous les éléments d’un signal de télévision numérique, y compris les informations relatives aux services interactifs et à accès conditionnel.»