Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Version en vigueur au 12/05/2026Version en vigueur au 12 mai 2026

ChronoLégi l'accès au droit dans le temps

Voir le sommaire du code

  • Article 115

    Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

    Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

    Le présent titre s'applique, sans préjudice du titre Ier, aux traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et qui intéressent la sûreté de l'Etat ou la défense.


    Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

    • Article 116

      Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

      Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

      I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable de traitement ou son représentant :

      1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

      2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

      3° Du caractère obligatoire ou facultatif des réponses ;

      4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

      5° Des destinataires ou catégories de destinataires des données ;

      6° Des droits qu'elle tient des dispositions des articles 117 à 120 ;

      7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;

      8° De la durée de conservation des catégories de données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.

      Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

      II.-Lorsque les données à caractère personnel n'ont pas été recueillies auprès de la personne concernée, le responsable de traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

      Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l'alinéa précédent ne s'appliquent pas lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l'intérêt de la démarche.

      III.-Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au II dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.


      Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

    • Article 117

      Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

      Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

      Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

      Les dispositions du premier alinéa ne s'appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l'application de ces dispositions a été écartée par une disposition expresse de l'acte autorisant le traitement.


      Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

    • Article 118

      Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

      Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

      I.-Les demandes tendant à l'exercice du droit d'accès, de rectification et d'effacement sont adressées à la Commission nationale de l'informatique et des libertés qui désigne l'un de ses membres appartenant ou ayant appartenu au Conseil d'Etat, à la Cour de cassation ou à la Cour des comptes pour mener les investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d'un agent de la commission. La commission informe la personne concernée qu'il a été procédé aux vérifications nécessaires et de son droit de former un recours juridictionnel.

      Lorsque la commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.


      Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

    • Article 119

      Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

      Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

      I.-Par dérogation à l'article 118, lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire autorisant le traitement peut prévoir que les droits d'accès, de rectification et d'effacement peuvent être exercés par la personne concernée auprès du responsable de traitement directement saisi dans les conditions prévues aux II à III du présent article.

      II.-La personne concernée justifiant de son identité a le droit d'obtenir :

      1° La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ;

      2° Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;

      3° Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne ;

      4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

      5° Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé.

      Les demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique peuvent être rejetées.

      III.-La personne concernée justifiant de son identité peut également exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

      Lorsque l'intéressé en fait la demande, le responsable de traitement doit justifier, sans frais pour le demandeur, qu'il a procédé aux opérations exigées.

      En cas de contestation, la charge de la preuve incombe au responsable de traitement auprès duquel est exercé le droit d'accès sauf lorsqu'il est établi que les données contestées ont été communiquées par l'intéressé ou avec son accord.

      Si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences utiles afin de lui notifier les opérations qu'il a effectuées conformément au premier alinéa du III.


      Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

    • Article 120

      Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

      Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

      Aucune décision de justice impliquant une appréciation sur le comportement d'une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de la personnalité de cette personne.

      Aucune autre décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à prévoir ou évaluer certains aspects personnels relatifs à la personne concernée.


      Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

      • Article 121

        Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

        Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

        Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.


        Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

      • Article 122

        Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

        Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

        Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

        Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées au 6° de l'article 4 et à l'article 121. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

        Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.


        Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

      • Article 123

        Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

        Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

        Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à l'Union européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

        Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.


        Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.

      • Article 124

        Version en vigueur depuis le 01/06/2019Version en vigueur depuis le 01 juin 2019

        Création Ordonnance n°2018-1125 du 12 décembre 2018 - art. 1

        Toutefois, le responsable de traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions de l'article 123 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :

        1° A la sauvegarde de la vie de cette personne ;

        2° A la sauvegarde de l'intérêt public ;

        3° Au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;

        4° A la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

        5° A l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;

        6° A la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.

        Il peut également être fait exception à l'interdiction prévue à l'article 123 si un tel transfert est autorisé par décret, pris après avis motivé de la Commission nationale de l'informatique et des libertés, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet. Lorsque les données transférées sont issues d'un traitement créé par un acte réglementaire dispensé de publication en application du III de l'article 31, le décret autorisant le transfert est lui-même dispensé de publication.

        La commission se prononce dans un délai de deux mois à compter de la réception de la demande d'avis. Toutefois ce délai peut être renouvelé une fois sur décision motivée de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, l'avis demandé à la commission sur le transfert est réputé favorable.


        Conformément à l'article 29 de l’ordonnance n° 2018-1125 du 12 décembre 2018, ces dispositions entrent en vigueur en même temps que le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés au 1er juin 2019.