Hormis les cas où ils doivent être autorisés par la loi et par dérogation aux dispositions des articles précédents, les traitements des données à caractère personnel opérés pour le compte de l'Etat, d'un établissement public ou d'une collectivité locale ou d'une personne morale de droit privé gérant un service public, sont autorisés par acte réglementaire, pris après avis motivé de l'Autorité de Protection des Données à caractère personnel.

Ces traitements portent sur :

  1. la sûreté de l'Etat, la défense ou la sécurité publique ;
  2. la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ;
  3. le recensement de la population ;
  4. les données à caractère personnel faisant apparaître, directement ou indirectement, les origines raciales, edm iq ues ou rég ionales , la filiation, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ;
  5. le traitement de salaires, pensions, impôts, taxes et autres liquidations ;
  6. la mise en œuvre du recouvrement des ressources de l'Etat.

L' Autorité de Protection des Données à caractère personnel saisie d'une demande d'avis se prononce dans un délai de deux (2) mois à compter de la réception de la demande. Toutefois, ce délai peut être renouvelé une fois sur décision motivée du président.

Si l'Autorité de Protection des Données à caractère personnel saisie ne se prononce pas jusqu'à l'expiration du délai fixé à l'alinéa précédent, l'avis est réputé favorable.

L'acte réglementaire pris sur avis de l' Autorité de Protection des Données à caractère personnel et autorisant les traitements visés ci-dessus précise :

la dénomination et la finalité du traitement ;

le service auprès duquel s'exerce le droit d'accès ;

les catégories des données à caractère personnel enregistrées;

les destinataires ou catégories de destinataires habilités à recevoir communication de ces données ;

les dérogations à l'obligation d'information prévues par les dispositions de l'article 50 de la loi 2017-020 sur la protection des données à caractère personnel, s'il y a lieu.