^Note Abrogé par l'article 104 de la loi n° 2004-63 du 27 juillet 2004Art. 38. - Le fournisseur de services de certification ne peut traiter les données personnelles qu'après accord du titulaire du certificat concerné.

Le consentement électronique peut être retenu, si le fournisseur garantit que :

• L'utilisateur a été informé de son droit de retirer son consentement à tout moment,
• Les parties utilisatrices des données personnelles peuvent être identifiées,
• La preuve du consentement est conservée et ne peut être modifiée.

Art. 39. - Sauf consentement du titulaire du certificat, le fournisseur de services de certification électronique ou un de ses agents ne peut collecter les informations relatives au titulaire du certificat qu'autant que ces *informations seraient nécessaires à la conclusion du contrat, à la fixation de son contenu, à son exécution et à la préparation et l'émission des factures.
Les données collectées conformément au premier paragraphe du présent article ne peuvent être utilisées par le fournisseur ou un tiers à des fins autres que celles mentionnées ci-dessus, que dans la mesure ou le titulaire du certificat en a été informé et ne s'y est pas opposé.

Art. 40. - Il est interdit aux utilisateurs des données personnelles collectées conformément à l'article 39 de la présente loi l'envoi des documents électroniques au titulaire d'un certificat qui refuse expressément de les recevoir.
Le titulaire d'un certificat doit notifier son opposition à l'agence nationale de certification électronique par lettre recommandée avec accusé de réception.
Cette notification est considérée comme une présomption légale de la connaissance de cette opposition par tous les fournisseurs et les tiers.

^Note Abrogé par l'article 104 de la loi n° 2004-63 du 27 juillet 2004 Art. 41. - Avant tout traitement des données personnelles, le fournisseur de services de certification électronique doit informer le titulaire du certificat, par une notification particulière, des procédures qu'il applique en matière de protection des données personnelles. Ces procédures doivent permettre au titulaire du certificat de s'informer de manière automatique et par des modalités simplifiées du contenu des données.
Ces procédures doivent fixer l'identité du responsable sur le traitement, la nature des données, les finalités des traitements, les catégories et les lieux de traitement et, le cas échéant, toute information nécessaire pour assurer un traitement sécurisé des données.

^Note Abrogé par l'article 104 de la loi n° 2004-63 du 27 juillet 2004 Art. 42. - Le titulaire du certificat peut, à tout moment, par demande, signée par écrit ou par voie électronique accéder aux informations personnelles le concernant et les modifier. Le droit d'accès et de modification s'étend à l'ensemble des données personnelles relatives au titulaire du certificat.
Le fournisseur doit mettre à la disposition du titulaire du certificat les moyens techniques nécessaires lui permettant d'envoyer sa demande signée pour la modification des informations ou leur suppression par voie électronique.