La Commission de la protection de la vie privée;



Documents pareils
OBJET : Utilisation des données contenues dans les annuaires téléphoniques.

CODE PROFESSIONNEL. déontologie

TRADUCTION EXTÉRIEURE NON RÉVISÉE

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

La Commission de la protection de la vie privée (ci-après "la Commission") ;

Lignes directrices relatives à la notion de personnes politiquement exposées (PPE)

Conditions générales d abonnement en ligne et d utilisation du site

Convention Beobank Online et Beobank Mobile

BNP PARIBAS ISABEL CONDITIONS GÉNÉRALES

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

Politique sur l accès aux documents et sur la protection des renseignements personnels

DES GOUVERNEMENTS DES ETATS MEMBRES Secrétariat CONF 3980/96

(Actes non législatifs) RÈGLEMENTS

Proposition de DÉCISION DU CONSEIL

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

Etablissement et dépôt des comptes consolidés et du rapport de gestion consolidé

CONDITIONS GENERALES DE VENTE ET D UTILISATION

LETTRE CIRCULAIRE N

Conditions Générales de Vente

FSMA_2012_15-1 du 12/07/2012

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

Orientations sur la solvabilité du groupe

MANITOWOC. Bulletin d'orientation de l'entreprise. Circulaire originale En remplacement de la circulaire 103 datée du 22 septembre 1999

ACCORD RELATIF À L'ACTIVITE DE "PORTAGE DE PRESSE" AU SEIN DE MEDIAPOST CENTRE OUEST

CONDITIONS PARTICULIERES DES OFFRES 100% GRATUITES

SGMAROC-ONLINE Particuliers Conditions générales de fonctionnement

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 2 juillet 2002 (OR. da/en) 10307/02 EUROPOL 46

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

PUBLICITÉ ET CRÉDIT À LA CONSOMMATION. Les modifications apportées par la Loi du 1 er juillet 2010

NORME CANADIENNE LES PRATIQUES COMMERCIALES DES ORGANISMES DE PLACEMENT COLLECTIF TABLE DES MATIÈRES

CONDITIONS GENERALES D'UTILISATION -

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 30 mars 2009 (OR. en) 7522/09 Dossier interinstitutionnel: 2009/0020 (CNS) VISA 96 AMLAT 28

DEMANDE DES PIÈCES DÉTACHÉES MASERATI CLASSIC

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Conditions générales de vente relatives à la souscription en ligne

Le Cloud! (CGU et CGV)

NOTICE SUR LA PROTECTION DES DONNÉES À l'intention DES LOGOPÉDISTES

Conditions générales de ventes - Hébergement

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

A V I S N Séance du mercredi 1er avril

Conditions Générales Location d équipements terminaux

DENIS THIBAULT Demandeur. Entreprise. réclamée. Elle lui confirme que La Capitale, Compagnie d assurance générale (ci-après

Les badges de chantier*

de la commune organisatrice ou bénéficiaire, ci-après dénommée «société de transports en commun bénéficiaire». Par dérogation aux dispositions de

Contrats Générales d utilisation et de vente de la solution Mailissimo

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Service Agreement CloudOffice powered by Office 365

COMMUNICATION N D. 134

QUESTION 143. Noms de domaine Internet, marques et noms commerciaux

Conditions générales d'utilisation des services de P4X SPRL:

OPTION SUR ACTION ET OPTION SUR PANIER D ACTIONS ADDITIF TECHNIQUE

CONDITIONS GENERALES DE VENTE ET D UTILISATION

Le programme d'affiliation de l'annonceur est géré par Effiliation (

données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

ACTES PRIS EN APPLICATION DU TITRE VI DU TRAITÉ UE

CONTRAT LOGICIEL CERTIFICATION

Contrat d'hébergement application ERP/CRM - Dolihosting

Les crédits à la consommation

Code de l'éducation. Article L131-1 En savoir plus sur cet article...

Charte de fonctionnement du portail Géocharente

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Chapitre 1er. Les intermédiaires d'assurances ou de réassurances

COM (2015) 289 final

Comité sectoriel du Registre national. Avis RN n 01/2013 du 11 décembre 2013

MINISTÈRE DE LA MARINE MARCHANDE DE MER EGEE Direction Nationale des Transports Maritimes

données à caractère personnel (ci-après LVP), en particulier les articles 31bis et 36bis ;

JE MONTE UN SITE INTERNET

L 114/8 Journal officiel de l Union européenne

Conseil d'état - 5ème et 4ème sous-sections réunies. Lecture du mercredi 30 mars Société Betclic Enterprises Limited

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

ORGANISATION MONDIALE

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

données à caractère personnel (ci-après "la LVP"), en particulier les articles 31bis et 36bis ;

Cliquez sur le titre de votre choix

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

CONDITIONS GENERALES D UTILISATION DE L APPLICATION LINK MYPEUGEOT 1 - PREAMBULE

Texte de l'arrêté "Site e-business"

Décision 04/78/ILR du 6 juillet 2004

Clause assurance des conventions de Maîtrise d œuvre > 15 M HT

Projet d'accord relatif à l'aide pour la défense mutuelle entre les États-Unis et la CED (Mai 1954)

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

CONVENTION D UTILISATION INTERNET

Conditions générales de vente sur e-transco

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel;

dans la poursuite pénale dirigée contre

L'AGENT IMMOBILIER. Attention : les cartes professionnelles déjà délivrées restent valables jusqu à leur date d expiration.

RÉSERVEZ. RETRACEZ. RÉCOLTEZ LES PRIMES.

CONDITIONS GENERALES D'UTILISATION OFFRE DE LOCATION -

Recommandation de la Commission du 18 mai 2005 relative à la gestion collective transfrontière du droit d auteur et des droits voisins dans le

Conditions générales de vente

CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISES DE SITES INTERNET

Belgique-Bruxelles: Logiciels de gestion de la relation clientèle 2013/S Avis de marché. Fournitures

Conditions de vente 11:08:34 12/02/2015

PG-10 DÉPENSES DU CONSEIL, DES COMITÉS ET D AUTRES BÉNÉVOLES

DOSSIER DE CANDIDATURE - FORMATION CERTIFIANTE INTENSIVE DE COACH SANE CYCLE 2 -

CAUTIONNEMENT ET SUBORDINATION DE CRÉANCES. (Prêts aux particuliers)

CONDITIONS GENERALES DE VENTE : BOUTIQUE EN LIGNE

Conditions Générales de Vente

Vu la demande d'avis de M. Christos DOULKERIDIS, Secrétaire d Etat au Gouvernement de la Région de Bruxelles-Capitale reçue le 23/02/2012;

Transcription:

RECOMMANDATION N 01 / 1998 du 14 DECEMBRE 1998 N. Réf. : 10 / IP / 1998 / 261 OBJET : Recommandation de la Commission de la protection de la vie privée en matière de "Système Informatisé de Réservation". --------------------------------------------------------------------------------------------------------------------------- ------- La Commission de la protection de la vie privée; Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, en particulier son article 30; Vu le rapport de M. Y. POULLET; Emet, le 14 décembre 1998, la recommandation suivante : REC1998-01 - 1 / 6

I. CADRE DE LA RECOMMANDATION : -------------------------------------------------------------- Les représentants d'un Système Informatisé de Réservation (SIR) (1) se sont adressés à la Commission en vue de déterminer comment certains principes de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel pouvaient être appliqués aux traitements mis en oeuvre. Un SIR consiste en une base de données et un processeur qui contient toute une variété d'informations sur des produits de voyages, tels que les horaires, les prix et les disponibilités. Cette base de données est accessible par ordinateur aux agences de voyages ainsi qu'à d'autres personnes, telles que les départements de voyages des entreprises. Le SIR permet aux agences de voyages de délivrer les billets, de déterminer les disponibilités de prix et de siège, ainsi que d"effectuer des réservations pour des vols. Les SIR permettent aux agences de voyages d'exercer les mêmes fonctions pour les entreprises ferroviaires, les hôtels, les compagnies de location de voitures, les organisateurs de voyages et les compagnies de charters. Les agences de voyages sont des abonnés et paient l'installation et le prix d'un abonnement mensuel aux SIR. Les fournisseurs de services, tels que les compagnies aériennes, les entreprises ferroviaires, les organisateurs de voyages et les hôtels, pour qui le SIR distribue les produits, sont connus sous le nom de "associates". Ces fournisseurs de services paient une contribution de réservation ('booking fee') pour chaque réservation effectuée par un SIR. En Europe, les principaux SIR sont les suivants : - Amadeus : contrôlé par Air France, Lufthansa, Iberia et Continental Airlines; - Galileo :contrôlé par United Airlines, US Airways, British Airways, Swissair, Alitalia, KLM; - Sabre : Sabre Travel Information Network appartient au groupe SABRE, détenu à 81% par la "AMR Corporation"; - Worldspan : contrôlé par Delta Airlines, Northwest Airlines and TWA. II. REGLEMENTATION APPLICABLE AUX SYSTEMES INFORMATISES DE RESERVATION : -------------------------------------------------------------------------------------------------------------------- Au niveau européen, la protection des individus à l'égard des traitements de données personnelles est régie par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, (2) (ciaprès, la directive). Cette directive devait être transposée dans les législations nationales pour le 24 octobre 1998. L'activité "SIR" est, par ailleurs, réglementée par un "Code de conduite", adopté sous la forme du Règlement (CEE) ne 2299/89 du Conseil du 24 juillet 1989 instaurant un Code de conduite pour l'utilisation de systèmes informatisés de réservation (J.O. L 220/1), modifié par le Règlement (CEE) ne 3089/93 du Conseil du 29 octobre 1993 (J.O. L 278/1). 1 2 En anglais, connu sous le nom de "Computer Reservation System" ou "CRS" J.O. 1995, L. 281/3. REC1998-01 - 2 / 6

Le Code de conduite vise principalement à créer un "level playing field" permettant aux compagnies aériennes et autres fournisseurs de services de voyages d'avoir un accès non discriminatoire aux SIR. Il est néanmoins intéressant de mentionner que l'article 6 du Code de conduite contient certains principes fondamentaux quant à la protection des données. L'article 6 énonce que : "1. Les dispositions ci-après s'appliquent à la mise à disposition, par un vendeur de système, des informations statistiques ou autres, émanant de son SIR. a) Des informations sur les réservations individuelles sont fournies, sur une base d'égalité, à l'intention exclusive du ou des transporteurs aériens participant au service concerné par la réservation en question et du ou des abonnés intervenant dans ladite réservation. b) Toute information en matière de commercialisation, de réservation et de vente, qui est mise à disposition l'est sous réserve que : i) toutes ces données soient offertes à tous les transporteurs participants, y compris les transporteurs associés, avec la même diligence et sans discrimination aucune; ii) iii) ces données puissent s'étendre et, sur demande, s'étendent à tous les transporteurs participants et/ou à tous les abonnés, mais ne comportent aucune information personnelle sur les consommateurs (particuliers ou sociétés), ni aucun élément permettant de les identifier; les demandes de données de ce type soient toutes traitées avec le même soin et avec la même diligence, sous réserve de la méthode de transmission choisie par le transporteur concerné. 2.Un vendeur de système ne met pas à la disposition de tiers non parties à la transaction des informations personnelles sur un passager sans le consentement de celui-ci. 3.Un vendeur de système veille à ce que les dispositions des paragraphes 1er et 2 soient respectées à l'aide de moyens techniques et/ou de sauvegardes appropriés s'appliquant au moins aux logiciels, de telle manière qu'aucun transporteur associé ne puisse avoir accès aux informations fournies par les transporteurs aériens, ou créées à leur intention, sauf si le présent article le permet. 4.Dans les trois mois qui suivent l'entrée en vigueur du présent réglement, un vendeur de système met à la disposition de tous les transporteurs participants, à leur demande, une description détaillée des dispositions techniques et administratives qu'il a adoptées pour se conformer au présent article." REC1998-01 - 3 / 6

III.CONCLUSIONS : -------------------------------- Après un examen des traitements mis en oeuvre par les SIR, la Commission de la protection de la vie privée est arrivée aux conclusions suivantes : 1. Au sens de la directive, l'entreprise qui gère un système SIR est indiscutablement un "responsable du traitement" (terminologie de la directive) ou un "maître du fichier" (terminologie de la loi du 8 décembre 1992). La directive définit le "maître du fichier" ou le "responsable du traitement" comme "la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel" (article 2(d) de la directive). La loi belge se réfère au maître du fichier comme "la personne physique ou morale ou l'association de fait compétente pour décider de la finalité du traitement ou des catégories de données devant y figurer" (article 1er, ' 6 de la loi). Il est évident que les SIR sont bien des responsables de traitement dans la mesure où, sans doute avec d'autres (les agences de voyages, les transporteurs aériens,...), c'est-à-dire conjointement, ils déterminent bien les finalités et les moyens de traitement, de manière à répondre aux besoins et attentes de leurs associés ou clients, et qu'en outre, ces traitements poursuivent des finalités propres qui permettent précisément aux SIR d'offrir une valeur ajoutée originale par rapport au service offert par les concurrents. Le SIR poursuit, en effet, des finalités propres qui constituent le service qu'il rend à l'ensemble de ses clients, service qui n'est pas un service de pur transport ou qui peut se réduire à l'exécution d'une mission pour autrui et totalement déterminée par ce dernier. Ces finalités propres sont la constitution de banques de données qui permettent l'information, le choix, la réservation et le suivi de cette réservation. Ces finalités justifient le traitement de données à caractère personnel. 2 Les agences de voyages ne sont pas les "agents traitants" du traitement opéré par les SIR. Elles peuvent cependant être désignées pour faciliter le droit d'accès et de rectification des utilisateurs. La notion de "gestionnaire" du traitement est une notion vague dans la loi belge actuelle, dans la mesure où elle peut désigner tant l'agence, personne physique ou morale, qui veille à la sécurité des traitements ou auprès de laquelle peut s'exercer le droit d'accès, que l'"agent traitant", au sens de l'article 17 de la directive, concept qui désigne l'organisme qui traite les données pour le compte du responsable du traitement et dans cette seule mesure. Il va de soi que les agences de voyages peuvent difficilement être qualifiées d'"agent traitant" opérant pour le compte des SIR. Elles poursuivent des finalités propres et leurs traitements ont un contenu et des caractéristiques propres, en fonction des particularités du service que chaque agence entend rendre à ses clients. La Commission n'entend cependant pas exclure que ces agences soient considérées comme des "interfaces" auprès desquelles s'exerce le droit d'accès et de rectification, dans la mesure où cette désignation peut faciliter la démarche de la personne concernée. Ceci dit, cette possibilité doit être soumise à de multiples conditions précisées ci-après. REC1998-01 - 4 / 6

IV. RECOMMANDATION : ------------------------------------------ Point 1 : Les SIR, en tant que "responsables de traitement" sont tenus à des obligations complémentaires à celles déjà reprises dans le Code de conduite. A cet égard, la Commission souhaite se référer à la Recommandation 1/98 sur les systèmes informatisés de réservation dans les transports aériens (SIR). (3) Les obligations concernent en particulier l'information de la personne concernée dès la collecte des données par les "interfaces" décrites au point 2, l'obtention de son consentement pour le traitement des données sensibles collectées (cf. le point 4), et la stricte limitation de la durée pendant laquelle la conservation de la donnée est pertinente. Point 2 : Le droit d'accès et de rectification auprès des agences de voyages doit être envisagé en tenant compte des conditions suivantes : 2.1. La possibilité d'exercer le droit d'accès et de rectification auprès de l'agence de voyages participant au SIR de son choix doit faire l'objet d'une information explicite de la personne concernée, lors de toute transaction auprès d'une agence de voyages participant au SIR; 2.2. La possibilité d'exercer le droit d'accès et de rectification auprès de l'agence de voyages ne peut exclure le droit d'accès exercé directement auprès du responsable du traitement, c'est-à-dire auprès du SIR; 2.3 La possibilité d'exercer le droit d'accès et de rectification auprès de l'agence de voyages doit être liée à une convention conclue par le SIR avec les "interfaces", garantissant notamment que l'accès et la rectification ont fait l'objet d'une demande explicite, signée par la personne concernée, et qu'aucune donnée dévoilée suite à cette demande ne sera conservée, cette preuve de la demande devant être conservée; 2.4. Enfin, des mesures de sécurité doivent être prises pour garder trace des demandes d'accès et de rectification opérées par l'intermédiaire de ces dites "interfaces", et des sanctions doivent être prévues dans la convention susmentionnée au point 2.3) ci-dessus en cas de détournement des droits d'accès et de rectification de leurs finalités. Point 3 : Les données "potentiellement" sensibles ne peuvent être traitées de façon à en déduire des données sensibles. Les SIR doivent s'engager à en informer les "interfaces" ou "destinataires". Le consentement explicite de la personne concernée est requis pour traiter les données sensibles. Il est exact que certaines données utilisées dans le cadre de la réservation de voyages ou de son suivi (ex. la nécessité de mise à disposition d'une chaise roulante, la nature du repas demandé,...) peuvent être soit sensibles en soi, soit permettre, dans le cadre d'un traitement particulier, de déduire des données sensibles (ex. la nature d'un repas ne constitue pas nécessairement une indication quant à l'opinion religieuse de la personne, mais pourrait permettre des déductions hâtives et de nature sensible). 3 Recommandation adoptée, le 28 avril 1998, par le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, groupe institué par l'article 29 de la directive susmentionnée. REC1998-01 - 5 / 6

Le consentement explicite de la personne concernée est requis pour le traitement de données sensibles, et les formulaires doivent attirer l'attention sur le caractère sensible de la donnée. Quant aux risques encourus de déduction de données sensibles, les SIR : - s'engagent à ne pas déduire des données sensibles à partir de données "potentiellement" sensibles; - interdisent conventionnellement, à la fois aux "interfaces" et aux destinataires, le traitement des données à des fins de déduction de données sensibles; - limitent à ce qui est strictement nécessaire et pour la durée nécessaire, sauf consentement de la personne concernée, le traitement de données "potentiellement" sensibles. Point 4 : En ce qui concerne les flux transfrontières à destination de pays tiers à l'union européenne, les SIR doivent apporter, eu égard à l'incertitude relative au caractère adéquat de la protection offerte, notamment aux Etats-Unis, dans le secteur des transports, la preuve de garanties contractuelles appropriées résultant, notamment, de clauses contractuelles. La signature d'un Code de conduite par un SIR pour l'ensemble de ses opérateurs est, certes, une première garantie. Il est cependant utile, au regard des obligations complémentaires réclamées par le Groupe de l'article 29, (4) que des garanties supplémentaires soient offertes, en particulier qu'un organe de contrôle indépendant puisse vérifier le respect des droits d'accès et de rectification, du principe de proportionnalité dans les données traitées, etc... Point 5 : Les recommandations de la Commission valent sans discrimination pour tous les SIR et seront notifiées à l'ensemble des SIR. Le secrétaire, Le président, (sé) M-H. BOULANGER. (sé) P. THOMAS. 4 "Transfert de données personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative à la protection des données". Document de travail adopté le 24 juillet 1998. REC1998-01 - 6 / 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back