Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009 amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws (Text with EEA relevance)Text with EEA relevance

• Published date: 19 December 2009
• Official Gazette Publication: Official Journal of the European Union, L 337, 18 December 2009

02009L0136 — FR — 21.12.2020 — 001.001

---

Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document

►B DIRECTIVE 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs (Texte présentant de l’intérêt pour l’EEE) (JO L 337 du 18.12.2009, p. 11)

Modifiée par:

		Journal officiel
		n°	page	date
►M1	DIRECTIVE (UE) 2018/1972 DU PARLEMENT EUROPÉEN ET DU CONSEIL Texte présentant de l’intérêt pour l’EEE du 11 décembre 2018	L 321	36	17.12.2018

Rectifiée par:

►C1 Rectificatif, JO L 241 du 10.9.2013, p. 9 (2009/136/CE)

---

▼B

DIRECTIVE 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 25 novembre 2009

modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs

(Texte présentant de l’intérêt pour l’EEE)

▼M1 —————

▼B

Article 2

Modifications de la directive 2002/58/CE (directive «vie privée et communications électroniques»)

La directive 2002/58/CE (directive «vie privée et communications électroniques») est modifiée comme suit:

1.

À l’article 1er, le paragraphe 1 est remplacé par le texte suivant:

«1.

La présente directive prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans la Communauté.»

2.

L’article 2 est modifié comme suit:

a)

le point c) est remplacé par le texte suivant:

«c)

“données de localisation”: toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public;»

b)

le point e) est supprimé;

►C1 c)

le point suivant est ajouté:

«i)

“violation de données à caractère personnel”: ◄ une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l’accès non autorisés de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté.»

3.

L’article 3 est remplacé par le texte suivant:

«Article 3

Services concernés

La présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics dans la Communauté, y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d'identification.»

4.

L’article 4 est modifié comme suit:

a)

le titre est remplacé par le texte suivant:

«Sécurité du traitement»;

b)

le paragraphe suivant est inséré:

«1 bis.

Sans préjudice des dispositions de la directive 95/46/CE, les mesures visées au paragraphe 1, pour le moins:

—

garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,

—

protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et

—

assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre.»;

c)

les paragraphes suivants sont ajoutés:

«3.

En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard indu l’autorité nationale compétente de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.

La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de l’autorité compétente, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

Sans préjudice de l’obligation du fournisseur d’informer les abonnés et les particuliers concernés, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, l’autorité nationale compétente peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.

La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à...