​Le règlement général de protection des données de l’UE (GDPR) est le changement le plus important dans la réglementation de la protection des données depuis 20 ans

GDPR Portal: Site Overview

Ce site est une ressource pour éduquer le public sur les principaux éléments du règlement général sur la protection des données (GDPR)

Après quatre années de préparation et de débat, le GDPR a finalement été approuvé par le Parlement européen le 14 avril 2016. Date d’entrée en vigueur: le 25 mai 2018 – date à laquelle les organisations en situation de non-respect risquent de lourdes amendes.

Le règlement européen sur la protection des données (GDPR) remplace la directive 95/46 / CE sur la protection des données et vise à harmoniser les lois sur la confidentialité des données à travers l’Europe. intimité. Les articles clés du GDPR, ainsi que des informations sur son impact commercial, peuvent être consultés sur ce site

GDPR

CHAPITRE II

Principes

Article 5

Principes relatifs au traitement des données à caractère personnel

1.   Les données à caractère personnel doivent être:

a)

traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b)

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);

c)

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d)

exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

f)

traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Article 6

Licéité du traitement

1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a)

la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b)

le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c)

le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d)

le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e)

le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f)

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

2.   Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3.   Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a)

le droit de l’Union; ou

b)

le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4.   Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a)

de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b)

du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

c)

de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;

d)

des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e)

de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Article 7

Conditions applicables au consentement

1.   Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2.   Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

3.   La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4.   Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Article 8

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information

1.   Lorsque l’article 6, paragraphe 1, point a), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Les États membres peuvent prévoir par la loi un âge inférieur pour ces finalités pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans.

2.   Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

3.   Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.

Article 9

Traitement portant sur des catégories particulières de données à caractère personnel

1.   Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.   Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie:

a)

la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b)

le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c)

le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

d)

le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e)

le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f)

le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g)

le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h)

le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i)

le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

j)

le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3.   Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.

4.   Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.

Article 10

Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un ‘État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Article 11

Traitement ne nécessitant pas l’identification

1.   Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.

2.   Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 15 à 20 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.

CHAPITRE III

Droits de la personne concernée

Section 1

Transparence et modalités

Article 12

Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

1.   Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.   Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

3.   Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

4.   Si le responsable du traitement ne donne pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.

5.   Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

a)

exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou

b)

refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6.   Sans préjudice de l’article 11, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

7.   Les informations à communiquer aux personnes concernées en application des articles 13 et 14 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

8.   La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées.

Section 2

Information et accès aux données à caractère personnel

Article 13

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

1.   Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a)

l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b)

le cas échéant, les coordonnées du délégué à la protection des données;

c)

les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d)

lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

e)

les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent; et

f)

le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

2.   En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a)

la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b)

l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données;

c)

lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d)

le droit d’introduire une réclamation auprès d’une autorité de contrôle;

e)

des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;

f)

l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3.   Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4.   Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

Article 14

Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée

1.   Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a)

l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;

b)

le cas échéant, les coordonnées du délégué à la protection des données;

c)

les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d)

les catégories de données à caractère personnel concernées;

e)

le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f)

le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

2.   En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

a)

la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b)

lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;

c)

l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données;

d)

lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

e)

le droit d’introduire une réclamation auprès d’une autorité de contrôle;

f)

la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public;

g)

l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3.   Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a)

dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b)

si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c)

s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4.   Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5.   Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

a)

la personne concernée dispose déjà de ces informations;

b)

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

c)

l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d)

les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Article 15

Droit d’accès de la personne concernée

1.   La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:

a)

les finalités du traitement;

b)

les catégories de données à caractère personnel concernées;

c)

les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d)

lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

e)

l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;

f)

le droit d’introduire une réclamation auprès d’une autorité de contrôle;

g)

lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h)

l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.   Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.   Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.   Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

Section 3

Rectification et effacement

Article 16

Droit de rectification

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Article 17

Droit à l’effacement («droit à l’oubli»)

1.   La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

a)

les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

b)

la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

c)

la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;

d)

les données à caractère personnel ont fait l’objet d’un traitement illicite;

e)

les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;

f)

les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.   Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3.   Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

a)

à l’exercice du droit à la liberté d’expression et d’information;

b)

pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c)

pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;

d)

à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e)

à la constatation, à l’exercice ou à la défense de droits en justice.

Article 18

Droit à la limitation du traitement

1.   La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique:

a)

l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel;

b)

le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;

c)

le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice;

d)

la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

2.   Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

3.   Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

Article 19

Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Article 20

Droit à la portabilité des données

1.   Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a)

le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b); et

b)

le traitement est effectué à l’aide de procédés automatisés.

2.   Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible.

3.   L’exercice du droit, visé au paragraphe 1 du présent article s’entend sans préjudice de l’article 17. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

4.   Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Section 4

Droit d’opposition et prise de décision individuelle automatisée

Article 21

Droit d’opposition

1.   La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.   Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.   Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.   Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.   Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.   Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

Article 22

Décision individuelle automatisée, y compris le profilage

1.   La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

2.   Le paragraphe 1 ne s’applique pas lorsque la décision:

a)

est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement;

b)

est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c)

est fondée sur le consentement explicite de la personne concernée.

3.   Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

4.   Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 9, paragraphe 1, à moins que l’article 9, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Section 5

Limitations

Article 23

Limitations

1.   Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a)

la sécurité nationale;

b)

la défense nationale;

c)

la sécurité publique;

d)

la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

e)

d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

f)

la protection de l’indépendance de la justice et des procédures judiciaires;

g)

la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

h)

une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);

i)

la protection de la personne concernée ou des droits et libertés d’autrui;

j)

l’exécution des demandes de droit civil.

2.   En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant:

a)

aux finalités du traitement ou des catégories de traitement;

b)

aux catégories de données à caractère personnel;

c)

à l’étendue des limitations introduites;

d)

aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

e)

à la détermination du responsable du traitement ou des catégories de responsables du traitement;

f)

aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

g)

aux risques pour les droits et libertés des personnes concernées; et

h)

au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

CHAPITRE IV

Responsable du traitement et sous-traitant

Section 1

Obligations générales

Article 24

Responsabilité du responsable du traitement

1.   Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2.   Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3.   L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.

Article 25

Protection des données dès la conception et protection des données par défaut

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2.   Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

3.   Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Article 26

Responsables conjoints du traitement

1.   Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

2.   L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

3.   Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

Article 27

Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union

1.   Lorsque l’article 3, paragraphe 2, s’applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l’Union.

2.   L’obligation prévue au paragraphe 1 du présent article ne s’applique pas:

a)

à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

b)

à une autorité publique ou à un organisme public;

3.   Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi.

4.   Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du présent règlement.

5.   La désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Article 28

Sous-traitant

1.   Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2.   Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3.   Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a)

ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b)

veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c)

prend toutes les mesures requises en vertu de l’article 32;

d)

respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e)

tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

f)

aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g)

selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

h)

met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4.   Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

5.   L’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6.   Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7.   La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2.

8.   Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l’article 63.

9.   Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10.   Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Article 29

Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant

Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.

Article 30

Registre des activités de traitement

1.   Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a)

le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b)

les finalités du traitement;

c)

une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d)

les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

e)

le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

f)

dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g)

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

2.   Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a)

le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;

b)

les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c)

le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;

d)

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

3.   Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

4.   Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

5.   Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Article 31

Coopération avec l’autorité de contrôle

Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.

Section 2

Sécurité des données à.caractère personnel

Article 32

Sécurité du traitement

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a)

la pseudonymisation et le chiffrement des données à caractère personnel;

b)

des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c)

des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d)

une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.   L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.   Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.

Article 33

Notification à l’autorité de contrôle d’une violation de données à caractère personnel

1.   En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.   Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.   La notification visée au paragraphe 1 doit, à tout le moins:

a)

décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b)

communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)

décrire les conséquences probables de la violation de données à caractère personnel;

d)

décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.   Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.   Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.

Article 34

Communication à la personne concernée d’une violation de données à caractère personnel

1.   Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.   La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

3.   La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a)

le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

b)

le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c)

elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4.   Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Section 3

Analyse d’impact relative à la protection des donnés et consultation préalable

Article 35

Analyse d’impact relative à la protection des données

1.   Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

2.   Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

3.   L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a)

l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b)

le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou

c)

la surveillance systématique à grande échelle d’une zone accessible au public.

4.   L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68.

5.   L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise. L’autorité de contrôle communique cette liste au comité.

6.   Avant d’adopter les listes visées aux paragraphes 4 et 5, l’autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence visé à l’article 63, lorsque ces listes comprennent des activités de traitement liées à l’offre de biens ou de services à des personnes concernées ou au suivi de leur comportement dans plusieurs États membres, ou peuvent affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union.

7.   L’analyse contient au moins:

a)

une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;

b)

une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c)

une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

d)

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

8.   Le respect, par les responsables du traitement ou sous-traitants concernés, de codes de conduite approuvés visés à l’article 40 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits responsables du traitement ou sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.

9.   Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

10.   Lorsque le traitement effectué en application de l’article 6, paragraphe 1, point c) ou e), a une base juridique dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis, que ce droit règlemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée dans le cadre de l’adoption de la base juridique en question, les paragraphes 1 à 7 ne s’appliquent pas, à moins que les États membres n’estiment qu’il est nécessaire d’effectuer une telle analyse avant les activités de traitement.

11.   Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Article 36

Consultation préalable

1.   Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2.   Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

3.   Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:

a)

le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises;

b)

les finalités et les moyens du traitement envisagé;

c)

les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d)

le cas échéant, les coordonnées du délégué à la protection des données;

e)

l’analyse d’impact relative à la protection des données prévue à l’article 35; et

f)

toute autre information que l’autorité de contrôle demande.

4.   Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5.   Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Section 4

Délégué à la protection des données

Article 37

Désignation du délégué à la protection des données

1.   Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a)

le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b)

les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c)

les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

2.   Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

3.   Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4.   Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5.   Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

6.   Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

7.   Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Article 38

Fonction du délégué à la protection des données

1.   Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2.   Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.

3.   Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

4.   Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.

5.   Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.

6.   Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.

Article 39

Missions du délégué à la protection des données

1.   Les missions du délégué à la protection des données sont au moins les suivantes:

a)

informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b)

contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c)

dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

d)

coopérer avec l’autorité de contrôle;

e)

faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2.   Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Section 5

Codes de conduite et certification

Article 40

Codes de conduite

1.   Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.

2.   Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que:

a)

le traitement loyal et transparent;

b)

les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;

c)

la collecte des données à caractère personnel;

d)

la pseudonymisation des données à caractère personnel;

e)

les informations communiquées au public et aux personnes concernées;

f)

l’exercice des droits des personnes concernées;

g)

les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant;

h)

les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32;

i)

la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;

j)

le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou

k)

les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

3.   Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d’application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l’article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et doté de force obligatoire au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

4.   Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l’organisme visé à l’article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s’engagent à l’appliquer, sans préjudice des missions et des pouvoirs de l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.

5.   Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes.

6.   Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle enregistre et publie le code de conduite.

7.   Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle qui est compétente en vertu de l’article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l’article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s’il offre des garanties appropriées.

8.   Lorsque l’avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.

9.   La Commission peut décider, par voie d’actes d’exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d’application générale au sein de l’Union. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

10.   La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu’ils sont d’application générale conformément au paragraphe 9.

11.   Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.

Article 41

Suivi des codes de conduite approuvés

1.   Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l’article 40 peut être effectué par un organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code et qui est agréé à cette fin par l’autorité de contrôle compétente.

2.   Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d’un code de conduite lorsque cet organisme a:

a)

démontré, à la satisfaction de l’autorité de contrôle compétente, son indépendance et son expertise au regard de l’objet du code;

b)

établi des procédures qui lui permettent d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement;

c)

établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et

d)

démontré, à la satisfaction de l’autorité de contrôle compétente, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.

3.   L’autorité de contrôle compétente soumet le projet de critères d’agrément d’un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l’article 63.

4.   Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l’application du code. Il informe l’autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5.   L’autorité de contrôle compétente révoque l’agrément d’un organisme visé au paragraphe 1 si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme constituent une violation du présent règlement.

6.   Le présent article ne s’applique pas au traitement effectué par les autorités publiques et les organismes publics.

Article 42

Certification

1.   Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

2.   Outre l’application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l’article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3.   La certification est volontaire et accessible via un processus transparent.

4.   Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l’article 55 ou 56.

5.   Une certification en vertu du présent article est délivrée par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l’article 58, paragraphe 3, ou par le comité en application de l’article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.

6.   Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l’organisme de certification visé à l’article 43 ou, le cas échéant, à l’autorité de contrôle compétente toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.

7.   La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d’être satisfaites. La certification est retirée, s’il y a lieu, par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.

8.   Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.

Article 43

Organismes de certification

1.   Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d’un niveau d’expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l’autorité de contrôle pour qu’elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l’article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:

a)

l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56;

b)

l’organisme national d’accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.

2.   Les organismes de certification visés au paragraphe 1 ne sont agréés conformément audit paragraphe que lorsqu’ils ont:

a)

démontré, à la satisfaction de l’autorité de contrôle compétente, leur indépendance et leur expertise au regard de l’objet de la certification;

b)

pris l’engagement de respecter les critères visés à l’article 42, paragraphe 5, et approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou par le comité, en vertu de l’article 63;

c)

mis en place des procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels et de marques en matière de protection des données;

d)

établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et

e)

démontré, à la satisfaction de l’autorité de contrôle compétente, que leurs tâches et leurs missions n’entraînent pas de conflit d’intérêts.

3.   L’agrément des organismes de certification visés aux paragraphes 1 et 2 du présent article se fait sur la base de critères approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou, par le comité en vertu de l’article 63. En cas d’agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) no 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4.   Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l’évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L’agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l’organisme de certification satisfait aux exigences énoncées au présent article.

5.   Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.

6.   Les exigences visées au paragraphe 3 du présent article et les critères visés à l’article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

7.   Sans préjudice du chapitre VIII, l’autorité de contrôle compétente ou l’organisme national d’accréditation révoque l’agrément d’un organisme de certification en application du paragraphe 1 du présent article si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme de certification constituent une violation du présent règlement.

8.   La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l’article 42, paragraphe 1.

9.   La Commission peut adopter des actes d’exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

CHAPITRE V

Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Article 44

Principe général applicable aux transferts

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

Article 45

Transferts fondés sur une décision d’adéquation

1.   Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.

2.   Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

a)

l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;

b)

l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

c)

les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3.   La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. L’acte d’exécution précise son champ d’application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b), du présent article. L’acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

4.   La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE.

5.   Lorsque les informations disponibles révèlent, en particulier à l’issue de l’examen visé au paragraphe 3 du présent article, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Pour des raisons d’urgence impérieuses dûment justifiées, la Commission adopte des actes d’exécution immédiatement applicables en conformité avec la procédure visée à l’article 93, paragraphe 3.

6.   La Commission engage des consultations avec le pays tiers ou l’organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7.   Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l’organisation internationale en question, effectués en application des articles 46 à 49.

8.   La Commission publie au Journal officiel de l’Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu’un niveau de protection adéquat est ou n’est plus assuré.

9.   Les décisions adoptées par la Commission sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.

Article 46

Transferts moyennant des garanties appropriées

1.   En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2.   Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par:

a)

un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b)

des règles d’entreprise contraignantes conformément à l’article 47;

c)

des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;

d)

des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;

e)

un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

f)

un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3.   Sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a)

des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou

b)

des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4.   L’autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l’article 63 dans les cas visés au paragraphe 3 du présent article.

5.   Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l’article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l’article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

Article 47

Règles d’entreprise contraignantes

1.   L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l’article 63, à condition que:

a)

ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés;

b)

elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel; et

c)

elles répondent aux exigences prévues au paragraphe 2.

2.   Les règles d’entreprise contraignantes visées au paragraphe 1 précisent au moins:

a)

la structure et les coordonnées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe et de chacune de leurs entités;

b)

les transferts ou l’ensemble des transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, le type de personnes concernées affectées et le nom du ou des pays tiers en question;

c)

leur nature juridiquement contraignante, tant interne qu’externe;

d)

l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données à caractère personnel, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes;

e)

les droits des personnes concernées à l’égard du traitement et les moyens d’exercer ces droits y compris le droit de ne pas faire l’objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, conformément à l’article 22, le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 79 et d’obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d’entreprise contraignantes;

f)

l’acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s’il prouve que le fait générateur du dommage n’est pas imputable à l’entité en cause;

g)

la manière dont les informations sur les règles d’entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe sont fournies aux personnes concernées, en sus des informations visées aux articles 13 et 14;

h)

les missions de tout délégué à la protection des données, désigné conformément à l’article 37, ou de toute autre personne ou entité chargée de la surveillance du respect des règles d’entreprise contraignantes au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, ainsi que le suivi de la formation et le traitement des réclamations;

i)

les procédures de réclamation;

j)

les mécanismes mis en place au sein du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe pour garantir que le contrôle du respect des règles d’entreprise contraignantes. Ces mécanismes prévoient des audits sur la protection des données et des méthodes assurant que des mesures correctrices seront prises pour protéger les droits de la personne concernée. Les résultats de ce contrôle devraient être communiqués à la personne ou à l’entité visée au point h) et au conseil d’administration de l’entreprise qui exerce le contrôle du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, et devraient être mis à la disposition de l’autorité de contrôle compétente sur demande;

k)

les mécanismes mis en place pour communiquer et consigner les modifications apportées aux règles et pour communiquer ces modifications à l’autorité de contrôle;

l)

le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, notamment en mettant à la disposition de l’autorité de contrôle les résultats des contrôles des mesures visés au point j);

m)

les mécanismes permettant de communiquer à l’autorité de contrôle compétente toutes les obligations juridiques auxquelles une entité du groupe d’entreprises, ou du groupe d’entreprises engagées dans une activité économique conjointe, est soumise dans un pays tiers qui sont susceptibles d’avoir un effet négatif important sur les garanties fournies par les règles d’entreprise contraignantes; et

n)

la formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel.

3.   La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, préciser la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Article 48

Transferts ou divulgations non autorisés par le droit de l’Union

Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.

Article 49

Dérogations pour des situations particulières

1.   En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, ou de garanties appropriées en vertu de l’article 46, y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes:

a)

la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées;

b)

le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;

c)

le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;

d)

le transfert est nécessaire pour des motifs importants d’intérêt public;

e)

le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice;

f)

le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

g)

le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des ‘informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union ou le droit de l’État membre sont remplies dans le cas d’espèce.

Lorsqu’un transfert ne peut pas être fondé sur une disposition de l’article 45 ou 46, y compris les dispositions relatives aux règles d’entreprise contraignantes, et qu’aucune des dérogations pour des situations particulières visées au premier alinéa du présent paragraphe n’est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement informe l’autorité de contrôle du transfert. Outre qu’il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu’il poursuit.

2.   Un transfert effectué en vertu du paragraphe 1, premier alinéa, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes justifiant d’un intérêt légitime, le transfert n’est effectué qu’à la demande de ces personnes ou lorsqu’elles en sont les destinataires.

3.   Les points a), b), et c) du premier alinéa du paragraphe 1 et le deuxième alinéa du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l’exercice de leurs prérogatives de puissance publique.

4.   L’intérêt public visé au paragraphe 1, premier alinéa, point d), est reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis.

5.   En l’absence de décision d’adéquation, le droit de l’Union ou le droit d’un État membre peut, pour des motifs importants d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données à caractère personnel vers un pays tiers ou à une organisation internationale. Les États membres notifient de telles dispositions à la Commission.

6.   Le responsable du traitement ou le sous-traitant documente, dans les registres visés à l’article 30, l’évaluation ainsi que les garanties appropriées visées au paragraphe 1, deuxième alinéa, du présent article.

Article 50

Coopération internationale dans le domaine de la protection des données à caractère personnel

La Commission et les autorités de contrôle prennent, à l’égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a)

élaborer des mécanismes de coopération internationale destinés à faciliter l’application effective de la législation relative à la protection des données à caractère personnel;

b)

se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d’autres libertés et droits fondamentaux;

c)

associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l’application de la législation relative à la protection des données à caractère personnel;

d)

favoriser l’échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

CHAPITRE VI

Autorités de contrôle indépendantes

Section 1

Statut d’indépendance

Article 51

Autorité de contrôle

1.   Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée «autorité de contrôle»).

2.   Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3.   Lorsqu’un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l’article 63.

4.   Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du présent chapitre, au plus tard, le 25 mai 2018 et, sans tarder, toute modification ultérieure les affectant.

Article 52

Indépendance

1.   Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement.

2.   Dans l’exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.

3.   Le ou les membres de chaque autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non.

4.   Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l’assistance mutuelle, de la coopération et de la participation au comité.

5.   Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du ou des membres de l’autorité de contrôle concernée.

6.   Chaque État membre veille à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance et qu’elle dispose d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.

Article 53

Conditions générales applicables aux membres de l’autorité de contrôle

1.   Les États membres prévoient que chacun des membres de leurs autorités de contrôle est nommé selon une procédure transparente par:

leur parlement;

leur gouvernement;

leur chef d’État; ou

un organisme indépendant chargé de procéder à la nomination en vertu du le droit de l’État membre

2.   Chaque membre a les qualifications, l’expérience et les compétences nécessaires, notamment dans le domaine de la protection des données à caractère personnel, pour l’exercice de ses fonctions et de ses pouvoirs.

3.   Les fonctions d’un membre prennent fin à l’échéance de son mandat, en cas de démission ou de mise à la retraite d’office, conformément au droit de l’État membre concerné.

4.   Un membre ne peut être démis de ses fonctions que s’il a commis une faute grave ou s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions.

Article 54

Règles relatives à l’établissement de l’autorité de contrôle

1.   Chaque État membre prévoit, par la loi, tous les éléments suivants:

a)

la création de chaque autorité de contrôle;

b)

les qualifications et les conditions d’éligibilité requises pour être nommé membre de chaque autorité de contrôle;

c)

les règles et les procédures pour la nomination du ou des membres de chaque autorité de contrôle;

d)

la durée du mandat du ou des membres de chaque autorité de contrôle, qui ne peut être inférieure à quatre ans, sauf pour le premier mandat après le 24 mai 2016, dont une partie peut être d’une durée plus courte lorsque cela est nécessaire pour protéger l’indépendance de l’autorité de contrôle au moyen d’une procédure de nominations échelonnées;

e)

le caractère renouvelable ou non du mandat du ou des membres de chaque autorité de contrôle et, si c’est le cas, le nombre de mandats;

f)

les conditions régissant les obligations du ou des membres et des agents de chaque autorité de contrôle, les interdictions d’activités, d’emplois et d’avantages incompatibles avec celles-ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l’emploi.

2.   Le ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l’Union ou au droit des États membres, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l’exercice de leurs missions ou de leurs pouvoirs, y compris après la fin de leur mandat. Pendant la durée de leur mandat, ce secret professionnel s’applique en particulier au signalement par des personnes physiques de violations du présent règlement.

Section 2

Compétence, missions et pouvoirs

Article 55

Compétence

1.   Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.

2.   Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable.

3.   Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

Article 56

Compétence de l’autorité de contrôle chef de file

1.   Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60.

2.   Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

3.   Dans les cas visés au paragraphe 2 du présent article, l’autorité de contrôle informe sans tarder l’autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l’autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l’article 60, en considérant s’il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.

4.   Si l’autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l’article 60 s’applique. L’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut lui soumettre un projet de décision. L’autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu’elle élabore le projet de décision visé à l’article 60, paragraphe 3.

5.   Lorsque l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée le traite conformément aux articles 61 et 62.

6.   L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant.

Article 57

Missions

1.   Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire:

a)

contrôle l’application du présent règlement et veille au respect de celui-ci;

b)

favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l’objet d’une attention particulière;

c)

conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement;

d)

encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

e)

fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membres;

f)

traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

g)

coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;

h)

effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique;

i)

suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et de la communication et des pratiques commerciales;

j)

adopte les clauses contractuelles types visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d);

k)

établit et tient à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données en application de l’article 35, paragraphe 4;

l)

fournit des conseils sur les opérations de traitement visées à l’article 36, paragraphe 2;

m)

encourage l’élaboration de codes de conduite en application de l’article 40, paragraphe 1, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l’article 40, paragraphe 5;

n)

encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l’article 42, paragraphe 1, et approuve les critères de certification en application de l’article 42, paragraphe 5;

o)

procède, le cas échéant, à l’examen périodique des certifications délivrées conformément à l’article 42, paragraphe 7;

p)

rédige et publie les critères d’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43;

q)

procède à l’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43;

r)

autorise les clauses contractuelles et les dispositions visées à l’article 46, paragraphe 3;

s)

approuve les règles d’entreprise contraignantes en application de l’article 47;

t)

contribue aux activités du comité;

u)

tient des registres internes des violations au présent règlement et des mesures prises conformément à l’article 58, paragraphe 2; et

v)

s’acquitte de toute autre mission relative à la protection des données à caractère personnel.

2.   Chaque autorité de contrôle facilite l’introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

3.   L’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.

4.   Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.

Article 58

Pouvoirs

1.   Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants:

a)

ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions;

b)

mener des enquêtes sous la forme d’audits sur la protection des données;

c)

procéder à un examen des certifications délivrées en application de l’article 42, paragraphe 7;

d)

notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;

e)

obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions;

f)

obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres.

2.   Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes:

a)

avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;

b)

rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;

c)

ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement;

d)

ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;

e)

ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;

f)

imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;

g)

ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19;

h)

retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;

i)

imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;

j)

ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

3.   Chaque autorité de contrôle dispose de tous les pouvoirs d’autorisation et de tous les pouvoirs consultatifs suivants:

a)

conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l’article 36;

b)

émettre, de sa propre initiative ou sur demande, des avis à l’attention du parlement national, du gouvernement de l’État membre ou, conformément au droit de l’État membre, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

c)

autoriser le traitement visé à l’article 36, paragraphe 5, si le droit de l’État membre exige une telle autorisation préalable;

d)

rendre un avis sur les projets de codes de conduite et les approuver en application de l’article 40, paragraphe 5;

e)

agréer des organismes de certification en application de l’article 43;

f)

délivrer des certifications et approuver des critères de certification conformément à l’article 42, paragraphe 5;

g)

adopter les clauses types de protection des données visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d);

h)

autoriser les clauses contractuelles visées à l’article 46, paragraphe 3, point a);

i)

autoriser les arrangements administratifs visés à l’article 46, paragraphe 3, point b);

j)

approuver les règles d’entreprise contraignantes en application de l’article 47.

4.   L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte.

5.   Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement.

6.   Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L’exercice de ces pouvoirs n’entrave pas le bon fonctionnement du chapitre VII.

Article 59

Rapports d’activité

Chaque autorité de contrôle établit un rapport annuel sur ses activités, qui peut comprendre une liste des types de violations notifiées et des types de mesures prises conformément à l’article 58, paragraphe 2. Ces rapports sont transmis au parlement national, au gouvernement et à d’autres autorités désignées par le droit de l’État membre. Ils sont mis à la disposition du public, de la Commission et du comité.

CHAPITRE VII

Coopération et cohérence

Section 1

Coopération

Article 60

Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées

1.   L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2.   L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

3.   L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.

4.   Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.

5.   Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

6.   Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

7.   L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.

8.   Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement.

9.   Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L’autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l’État membre dont elle relève et en informe l’auteur de la réclamation, tandis que l’autorité de contrôle de l’auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.

10.   Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

11.   Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique.

12.   L’autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d’un formulaire type, les informations requises en vertu du présent article.

Article 61

Assistance mutuelle

1.   Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisation et de consultation préalables, les inspections et les enquêtes.

2.   Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à une demande d’une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre, notamment, la transmission d’informations utiles sur la conduite d’une enquête.

3.   Les demandes d’assistances contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées.

4.   Une autorité de contrôle requise ne peut refuser de satisfaire à une demande d’assistance, sauf si:

a)

elle n’est pas compétente pour traiter l’objet de la demande ou pour prendre les mesures qu’elle est requise d’exécuter; ou

b)

satisfaire à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise.

5.   L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement des mesures prises pour donner suite à la demande. L’autorité de contrôle requise explique les raisons de tout refus de satisfaire à une demande en application du paragraphe 4.

6.   En règle générale, les autorités de contrôle requises communiquent par voie électronique et au moyen d’un formulaire type, les informations demandées par d’autres autorités de contrôle.

7.   Les autorités de contrôle requises ne perçoivent pas de frais pour toute action qu’elles prennent à la suite d’une demande d’assistance mutuelle. Les autorités de contrôle peuvent convenir de règles concernant l’octroi de dédommagements entre elles pour des dépenses spécifiques résultant de la fourniture d’une assistance mutuelle dans des circonstances exceptionnelles.

8.   Lorsqu’une autorité de contrôle ne fournit pas les informations visées au paragraphe 5 du présent article dans un délai d’un mois à compter de la réception de la demande formulée par une autre autorité de contrôle, l’autorité de contrôle requérante peut adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l’article 55, paragraphe 1. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont réputées réunies et nécessitent une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.

9.   La Commission peut, par voie d’actes d’exécution, préciser la forme et les procédures de l’assistance mutuelle visée au présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité, notamment en ce qui concerne le formulaire type visé au paragraphe 6 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Article 62

Opérations conjointes des autorités de contrôle

1.   Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.

2.   Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. L’autorité de contrôle qui est compétente en vertu de l’article 56, paragraphe 1 ou 4, invite l’autorité de contrôle de chacun de ces États membres à prendre part aux opérations conjointes concernées et donne suite sans tarder à toute demande d’une autorité de contrôle souhaitant y participer.

3.   Une autorité de contrôle peut, conformément au droit d’un État membre, et avec l’autorisation de l’autorité de contrôle d’origine, conférer des pouvoirs, notamment des pouvoirs d’enquête, aux membres ou aux agents de l’autorité de contrôle d’origine participant à des opérations conjointes ou accepter, pour autant que le droit de l’État membre dont relève l’autorité de contrôle d’accueil le permette, que les membres ou les agents de l’autorité de contrôle d’origine exercent leurs pouvoirs d’enquête conformément au droit de l’État membre dont relève l’autorité de contrôle d’origine. Ces pouvoirs d’enquête ne peuvent être exercés que sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil. Les membres ou agents de l’autorité de contrôle d’origine sont soumis au droit de l’État membre de l’autorité de contrôle d’accueil.

4.   Lorsque, conformément au paragraphe 1, les agents de l’autorité de contrôle d’origine opèrent dans un autre État membre, l’État membre dont relève l’autorité de contrôle d’accueil assume la responsabilité de leurs actions, y compris la responsabilité des dommages qu’ils causent au cours des opérations dont ils sont chargés, conformément au droit de l’État membre sur le territoire duquel ils opèrent.

5.   L’État membre sur le territoire duquel les dommages ont été causés répare ces dommages selon les conditions applicables aux dommages causés par ses propres agents. L’État membre dont relève l’autorité de contrôle d’origine dont les agents ont causé des dommages à des personnes sur le territoire d’un autre État membre rembourse intégralement à cet autre État membre les sommes qu’il a versées aux ayants droit.

6.   Sans préjudice de l’exercice de ses droits à l’égard des tiers et sous réserve du paragraphe 5, chaque État membre s’abstient, dans le cas prévu au paragraphe 1, de demander à un autre État membre le remboursement lié aux dommages visés au paragraphe 4.

7.   Lorsqu’une opération conjointe est envisagée et qu’une autorité de contrôle ne se conforme pas, dans un délai d’un mois, à l’obligation fixée au paragraphe 2, deuxième phrase, du présent article, les autres autorités de contrôle peuvent adopter une mesure provisoire sur le territoire de l’État membre dont celle-ci relève conformément à l’article 55. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont présumées être réunies et nécessitent un avis ou une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.

Section 2

Cohérence

Article 63

Mécanisme de contrôle de la cohérence

Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section.

Article 64

Avis du comité

1.   Le comité émet un avis chaque fois qu’une autorité de contrôle compétente envisage d’adopter l’une des mesures ci-après. À cet effet, l’autorité de contrôle compétente communique le projet de décision au comité, lorsque ce projet:

a)

vise à adopter une liste d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données doit être effectuée en application de l’article 35, paragraphe 4;

b)

concerne la question de savoir, en application de l’article 40, paragraphe 7, si un projet de code de conduite ou une modification ou une prorogation d’un code de conduite respecte le présent règlement;

c)

vise à approuver les critères d’agrément d’un organisme en application de l’article 41, paragraphe 3, ou d’un organisme de certification en application de l’article 43, paragraphe 3;

d)

vise à fixer des clauses types de protection des données visées à l’article 46, paragraphe 2, point d), et à l’article 28, paragraphe 8;

e)

vise à autoriser les clauses contractuelles visées à l’article 46, paragraphe 3, point a); ou

f)

vise à approuver des règles d’entreprise contraignantes au sens de l’article 47.

2.   Toute autorité de contrôle, le président du comité ou la Commission peuvent demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle conformément à l’article 61 ou les obligations relatives aux opérations conjointes conformément à l’article 62.

3.   Dans les cas visés aux paragraphes 1 et 2, le comité émet un avis sur la question qui lui est soumise, à condition qu’il n’ait pas déjà émis un avis sur la même question. Cet avis est adopté dans un délai de huit semaines à la majorité simple des membres du comité. Ce délai peut être prolongé de six semaines en fonction de la complexité de la question. En ce qui concerne le projet de décision visé au paragraphe 1 transmis aux membres du comité conformément au paragraphe 5, un membre qui n’a pas formulé d’objection dans un délai raisonnable fixé par le président est réputé approuver le projet de décision.

4.   Les autorités de contrôle et la Commission communiquent, dans les meilleurs délais, au comité, par voie électronique et au moyen d’un formulaire type, toutes les informations utiles, y compris, selon le cas, un résumé des faits, le projet de décision, les motifs rendant nécessaire l’adoption de cette mesure et les points de vue des autres autorités de contrôle concernées.

5.   Le président du comité transmet dans les meilleurs délais par voie électronique:

a)

toutes les informations utiles qui lui ont été communiquées aux membres du comité et à la Commission, au moyen d’un formulaire type. Le secrétariat du comité fournit, si nécessaire, les traductions des informations utiles; et

b)

l’avis à l’autorité de contrôle visée, selon le cas, aux paragraphes 1 et 2, et à la Commission, et le publie.

6.   L’autorité de contrôle compétente n’adopte pas son projet de décision visé au paragraphe 1 lorsque le délai visé au paragraphe 3 court.

7.   L’autorité de contrôle visée au paragraphe 1 tient le plus grand compte de l’avis du comité et fait savoir au président du comité par voie électronique au moyen d’un formulaire type, dans un délai de deux semaines suivant la réception de l’avis, si elle maintiendra ou si elle modifiera son projet de décision et, le cas échéant, son projet de décision modifié.

8.   Lorsque l’autorité de contrôle concernée informe le président du comité dans le délai visé au paragraphe 7 du présent article qu’elle n’a pas l’intention de suivre, en tout ou en partie, l’avis du comité, en fournissant les motifs pertinents, l’article 65, paragraphe 1, s’applique.

Article 65

Règlement des litiges par le comité

1.   En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité adopte une décision contraignante dans les cas suivants:

a)

lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file ou que l’autorité de contrôle chef de file a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement;

b)

lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle concernée qui est compétente pour l’établissement principal;

c)

lorsqu’une autorité de contrôle compétente ne demande pas l’avis du comité dans les cas visés à l’article 64, paragraphe 1, ou qu’elle ne suit pas l’avis du comité émis en vertu de l’article 64. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le comité de la question.

2.   La décision visée au paragraphe 1 est adoptée à la majorité des deux tiers des membres du comité dans un délai d’un mois à compter de la transmission de la question. Ce délai peut être prolongé d’un mois en fonction de la complexité de la question. La décision visée au paragraphe 1, est motivée et est adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et est contraignante à leur égard.

3.   Lorsque le comité n’a pas été en mesure d’adopter une décision dans les délais visés au paragraphe 2, il adopte sa décision, à la majorité simple de ses membres, dans un délai de deux semaines suivant l’expiration du deuxième mois visé au paragraphe 2. En cas d’égalité des voix au sein du comité, la voix de son président est prépondérante.

4.   Les autorités de contrôle concernées n’adoptent pas de décision sur la question soumise au comité en vertu du paragraphe 1 lorsque les délais visés aux paragraphes 2 et 3 courent.

5.   Le président du comité notifie, dans les meilleurs délais, la décision visée au paragraphe 1 aux autorités de contrôle concernées. Il en informe la Commission. La décision est publiée sur le site internet du comité sans tarder après que l’autorité de contrôle a notifié la décision finale visée au paragraphe 6.

6.   L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte sa décision finale sur la base de la décision visée au paragraphe 1 du présent article, dans les meilleurs délais et au plus tard un mois après que le comité a notifié sa décision. L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite informe le comité de la date à laquelle sa décision finale est notifiée, respectivement, au responsable du traitement ou au sous-traitant et à la personne concernée. La décision finale des autorités de contrôle concernées est adoptée aux conditions de l’article 60, paragraphes 7, 8 et 9. La décision finale fait référence à la décision visée au paragraphe 1 du présent article et précise que celle-ci sera publiée sur le site internet du comité conformément au paragraphe 5 du présent article. La décision visée au paragraphe 1 du présent article est jointe à la décision finale.

Article 66

Procédure d’urgence

1.   Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois. L’autorité de contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité et à la Commission.

2.   Lorsqu’une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d’urgence, elle peut demander un avis d’urgence ou une décision contraignante d’urgence au comité, en motivant sa demande d’avis ou de décision.

3.   Toute autorité de contrôle peut, en motivant sa demande d’avis ou de décision et notamment l’urgence d’intervenir, demander au comité un avis d’urgence ou une décision contraignante d’urgence, selon le cas, lorsqu’une autorité de contrôle compétente n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées.

4.   Par dérogation à l’article 64, paragraphe 3, et à l’article 65, paragraphe 2, l’avis d’urgence ou la décision contraignante d’urgence visés aux paragraphes 2 et 3 du présent article est adopté dans un délai de deux semaines à la majorité simple des membres du comité.

Article 67

Échange d’informations

La Commission peut adopter des actes d’exécution de portée générale afin de définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre ces autorités et le comité, notamment le formulaire type visé à l’article 64.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Section 3

Comité européen de la protection des données

Article 68

Comité européen de la protection des données

1.   Le comité européen de la protection des données (ci-après dénommé «comité») est institué en tant qu’organe de l’Union et possède la personnalité juridique.

2.   Le comité est représenté par son président.

3.   Le comité se compose du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs.

4.   Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l’application des dispositions du présent règlement, un représentant commun est désigné conformément au droit de cet État membre.

5.   La Commission a le droit de participer aux activités et réunions du comité sans droit de vote. La Commission désigne un représentant. Le président du comité informe la Commission des activités du comité.

6.   Dans les cas visés à l’article 65, le Contrôleur européen de la protection des données ne dispose de droits de vote qu’à l’égard des décisions concernant des principes et règles applicables aux institutions, organes et organismes de l’Union qui correspondent, en substance, à ceux énoncés dans le présent règlement.

Article 69

Indépendance

1.   Le comité exerce les missions et les pouvoirs qui lui sont conférés conformément aux articles 70 et 71 en toute indépendance.

2.   Sans préjudice des demandes de la Commission visées à l’article 70, paragraphe 1, point b), et à l’article 70, paragraphe 2, le comité ne sollicite ni n’accepte d’instructions de quiconque dans l’exercice de ses missions et de ses pouvoirs.

Article 70

Missions du comité

1.   Le comité veille à l’application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:

a)

de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;

b)

de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, y compris sur tout projet de modification du présent règlement;

c)

de conseiller la Commission, en ce qui concerne les règles d’entreprise contraignantes, sur la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent;

d)

de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l’article 17, paragraphe 2;

e)

d’examiner, de sa propre initiative, à la demande de l’un de ses membres ou à la demande de la Commission, toute question portant sur l’application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement;

f)

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l’article 22, paragraphe 2;

g)

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir les violations de données à caractère personnel, de déterminer les meilleurs délais visés à l’article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données à caractère personnel;

h)

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l’article 34, paragraphe 1;

i)

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel fondés sur des règles d’entreprise contraignantes appliquées par les responsables du traitement et sur des règles d’entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données à caractère personnel des personnes concernées visées à l’article 47;

j)

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel sur la base de l’article 49, paragraphe 1;

k)

d’élaborer, à l’intention des autorités de contrôle, des lignes directrices concernant l’application des mesures visées à l’article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l’article 83;

l)

de faire le bilan de l’application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f);

m)

de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l’article 54, paragraphe 2;

n)

d’encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;

o)

de procéder à l’agrément des organismes de certification et à l’examen périodique de cet agrément en vertu de l’article 43 et de tenir un registre public des organismes agréés en vertu de l’article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l’article 42, paragraphe 7;

p)

de définir les exigences visées à l’article 43, paragraphe 3, aux fins de l’agrément des organismes de certification prévu à l’article 42;

q)

de rendre à la Commission un avis sur les exigences en matière de certification visées à l’article 43, paragraphe 8;

r)

de rendre à la Commission un avis sur les icônes visées à l’article 12, paragraphe 7;

s)

de rendre à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l’évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale n’assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l’organisation internationale;

t)

d’émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l’article 64, paragraphe 1, sur les questions soumises en vertu de l’article 64, paragraphe 2, et d’émettre des décisions contraignantes en vertu de l’article 65, y compris dans les cas visés à l’article 66;

u)

de promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle;

v)

de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d’organisations internationales;

w)

de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

x)

d’émettre des avis sur les codes de conduite élaborés au niveau de l’Union en application de l’article 40, paragraphe 9; et

y)

de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

2.   Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l’urgence de la question.

3.   Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 93, et les publie.

4.   Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l’article 76.

Article 71

Rapports

1.   Le comité établit un rapport annuel sur la protection des personnes physiques à l’égard du traitement dans l’Union et, s’il y a lieu, dans les pays tiers et les organisations internationales. Le rapport est rendu public et communiqué au Parlement européen, au Conseil et à la Commission.

2.   Le rapport annuel présente notamment le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées à l’article 70, paragraphe 1, point l), ainsi que des décisions contraignantes visées à l’article 65.

Article 72

Procédure

1.   Le comité prend ses décisions à la majorité simple de ses membres, sauf disposition contraire du présent règlement.

2.   Le comité adopte son règlement intérieur à la majorité des deux tiers de ses membres et détermine ses modalités de fonctionnement.

Article 73

Président

1.   Le comité élit son président et deux vice-présidents en son sein à la majorité simple.

2.   Le président et les vice-présidents sont élus pour un mandat de cinq ans renouvelable une fois.

Article 74

Missions du président

1.   Le président a pour missions:

a)

de convoquer les réunions du comité et d’établir l’ordre du jour;

b)

de notifier les décisions adoptées par le comité en application de l’article 65 à l’autorité de contrôle chef de file et aux autorités de contrôle concernées;

c)

de veiller à l’accomplissement, dans les délais, des missions du comité, notamment en ce qui concerne le mécanisme de contrôle de la cohérence visé à l’article 63.

2.   Le comité fixe dans son règlement intérieur la répartition des tâches entre le président et les vice-présidents.

Article 75

Secrétariat

1.   Le comité dispose d’un secrétariat, qui est assuré par le Contrôleur européen de la protection des données.

2.   Le secrétariat accomplit ses tâches sous l’autorité exclusive du président du comité.

3.   Le personnel du Contrôleur européen de la protection des données qui participe à l’exercice des missions que le présent règlement confie au comité est soumis à une structure hiérarchique distincte de celle du personnel qui participe à l’exercice des missions confiées au Contrôleur européen de la protection des données.

4.   Le cas échéant, le comité et le Contrôleur européen de la protection des données établissent et publient un protocole d’accord mettant en œuvre le présent article, fixant les modalités de leur coopération et s’appliquant au personnel du Contrôleur européen de la protection des données qui participe à l’exercice des missions que le présent règlement confie au comité.

5.   Le secrétariat fournit un soutien analytique, administratif et logistique au comité.

6.   Le secrétariat est notamment chargé de:

a)

la gestion courante du comité;

b)

la communication entre les membres du comité, son président et la Commission;

c)

la communication avec d’autres institutions et le public;

d)

l’utilisation des voies électroniques pour la communication interne et externe;

e)

la traduction des informations utiles;

f)

la préparation et le suivi des réunions du comité;

g)

la préparation, la rédaction et la publication d’avis, de décisions relatives au règlement des litiges entre autorités de contrôle et d’autres textes adoptés par le comité.

Article 76

Confidentialité

1.   Lorsque le comité le juge nécessaire, ses débats sont confidentiels, comme le prévoit son règlement intérieur.

2.   L’accès aux documents présentés aux membres du comité, aux experts et aux représentants de tiers est régi par le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (21).

CHAPITRE VIII

Voies de recours, responsabilité et sanctions

Article 77

Droit d’introduire une réclamation auprès d’une autorité de contrôle

1.   Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2.   L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78.

Article 78

Droit à un recours juridictionnel effectif contre une autorité de contrôle

1.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

3.   Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.

4.   Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

Article 79

Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

1.   Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

2.   Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

Article 80

Représentation des personnes concernées

1.   La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.

2.   Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.

Article 81

Suspension d’une action

1.   Lorsqu’une juridiction compétente d’un État membre est informée qu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, elle contacte cette juridiction dans l’autre État membre pour confirmer l’existence d’une telle action.

2.   Lorsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.

3.   Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction.

Article 82

Droit à réparation et responsabilité

1.   Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2.   Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3.   Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

4.   Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

5.   Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

6.   Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2.

Article 83

Conditions générales pour imposer des amendes administratives

1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2.   Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

a)

la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi;

b)

le fait que la violation a été commise délibérément ou par négligence;

c)

toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées;

d)

le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32;

e)

toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant;

f)

le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;

g)

les catégories de données à caractère personnel concernées par la violation;

h)

la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation;

i)

lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures;

j)

l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42; et

k)

toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

3.   Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave.

4.   Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

a)

les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43;

b)

les obligations incombant à l’organisme de certification en vertu des articles 42 et 43;

c)

les obligations incombant à l’organisme chargé du suivi des codes de conduite en vertu de l’article 41, paragraphe 4.

5.   Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

a)

les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;

b)

les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22

c)

les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;

d)

toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;

e)

le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1.

6.   Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet, conformément au paragraphe 2 du présent article, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

7.   Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.

8.   L’exercice, par l’autorité de contrôle, des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées conformément au droit de l’Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.

9.   Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, le présent article peut être appliqué de telle sorte que l’amende est déterminée par l’autorité de contrôle compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités de contrôle. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. Les États membres concernés notifient à la Commission les dispositions légales qu’ils adoptent en vertu du présent paragraphe au plus tard le 25 mai 2018 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Article 84

Sanctions

1.   Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.

2.   Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

CHAPITRE IX

Dispositions relatives à des situations particulières de traitement

Article 85

Traitement et liberté d’expression et d’information

1.   Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire.

2.   Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information.

3.   Chaque État membre notifie à la Commission les dispositions légales qu’il a adoptées en vertu du paragraphe 2 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant.

Article 86

Traitement et accès du public aux documents officiels

Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement.

Article 87

Traitement du numéro d’identification national

Les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Dans ce cas, le numéro d’identification national ou tout autre identifiant d’application générale n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement.

Article 88

Traitement de données dans le cadre des relations de travail

1.   Les États membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés en ce qui concerne le traitement des données à caractère personnel des employés dans le cadre des relations de travail, aux fins, notamment, du recrutement, de l’exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l’organisation du travail, de l’égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, de la protection des biens appartenant à l’employeur ou au client, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l’emploi, individuellement ou collectivement, ainsi qu’aux fins de la résiliation de la relation de travail.

2.   Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail.

3.   Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1 au plus tard le 25 mai 2018 et, sans tarder, toute modification ultérieure les concernant.

Article 89

Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

1.   Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

2.   Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

3.   Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union ou le droit d’un État membre peut prévoir des dérogations aux droits visés aux articles 15, 16, 18, 19, 20 et 21, sous réserve des conditions et des garanties visées au paragraphe 1 du présent article, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4.   Lorsqu’un traitement visé aux paragraphes 2 et 3 sert dans le même temps une autre finalité, les dérogations sont applicables au seul traitement effectué aux fins visées auxdits paragraphes.

Article 90

Obligations de secret

1.   Les États membres peuvent adopter des règles spécifiques afin de définir les pouvoirs des autorités de contrôle visés à l’article 58, paragraphe 1, points e) et f) à l’égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l’Union ou du droit d’un État membre ou de règles arrêtées par les organismes nationaux compétents, à une obligation de secret professionnel ou à d’autres obligations de secret équivalentes, lorsque cela est nécessaire et proportionné pour concilier le droit à la protection des données à caractère personnel et l’obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou a obtenues dans le cadre d’une activité couverte par ladite obligation de secret.

2.   Chaque État membre notifie à la Commission les règles qu’il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018, et, sans tarder, toute modification ultérieure les concernant.

Article 91

Règles existantes des églises et associations religieuses en matière de protection des données

1.   Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d’entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l’égard du traitement, elles peuvent continuer d’appliquer lesdites règles à condition de les mettre en conformité avec le présent règlement.

2.   Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 du présent article sont soumises au contrôle d’une autorité de contrôle indépendante qui peut être spécifique, pour autant qu’elle remplisse les conditions fixées au chapitre VI du présent règlement.

CHAPITRE X

Actes délégués et actes d’exécution

Article 92

Exercice de la délégation

1.   Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   La délégation de pouvoir visée à l’article 12, paragraphe 8, et à l’article 43, paragraphe 8, est conférée à la Commission pour une durée indéterminée à compter du 24 mai 2016.

3.   La délégation de pouvoir visée à l’article 12, paragraphe 8, et à l’article 43, paragraphe 8, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

5.   Un acte délégué adopté en vertu de l’article 12, paragraphe 8, et de l’article 43, paragraphe 8, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.

Article 93

Comité

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

3.   Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) no 182/2011, en liaison avec l’article 5, s’applique.

CHAPITRE XI

Dispositions finales

Article 94

Abrogation de la directive 95/46/CE

1.   La directive 95/46/CE est abrogée avec effet au 25 mai 2018.

2.   Les références faites à la directive abrogée s’entendent comme faites au présent règlement. Les références faites au groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE s’entendent comme faites au comité européen de la protection des données institué par le présent règlement.

Article 95

Relation avec la directive 2002/58/CE

Le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l’Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE.

Article 96

Relation avec les accords conclus antérieurement

Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 24 mai 2016 et qui respectent le droit de l’Union tel qu’il est applicable avant cette date restent en vigueur jusqu’à leur modification, leur remplacement ou leur révocation.

Article 97

Rapports de la Commission

1.   Au plus tard le 25 mai 2020 et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l’évaluation et le réexamen du présent règlement. Ces rapports sont publiés.

2.   Dans le cadre des évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l’application et le fonctionnement du:

a)

chapitre V sur le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, en particulier en ce qui concerne les décisions adoptées en vertu de l’article 45, paragraphe 3 du présent règlement, et des décisions adoptées sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE;

b)

chapitre VII sur la coopération et la cohérence.

3.   Aux fins du paragraphe 1, la Commission peut demander des informations aux États membres et aux autorités de contrôle.

4.   Lorsqu’elle procède aux évaluations et réexamens visés aux paragraphes 1 et 2, la Commission tient compte des positions et des conclusions du Parlement européen, du Conseil, et d’autres organismes ou sources pertinents.

5.   La Commission soumet, si nécessaire, des propositions appropriées visant à modifier le présent règlement, notamment en tenant compte de l’évolution des technologies de l’information et à la lumière de l’état d’avancement de la société de l’information.

Article 98

Réexamen d’autres actes juridiques de l’Union relatifs à la protection des données

La Commission présente, au besoin, des propositions législatives en vue de modifier d’autres actes juridiques de l’Union relatifs à la protection des données à caractère personnel, afin d’assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement. Cela concerne en particulier les règles relatives à la protection des personnes physiques à l’égard du traitement par des institutions, organes et organismes de l’Union et à la libre circulation de ces données.

Article 99

Entrée en vigueur et application

1.   Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2.   Il est applicable à partir du 25 mai 2018.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 27 avril 2016.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

J.A. HENNIS-PLASSCHAERT


(1)  JO C 229 du 31.7.2012, p. 90.

(2)  JO C 391 du 18.12.2012, p. 127.

(3)  Position du Parlement européen du 12 mars 2014 (non encore parue au Journal officiel) et position du Conseil en première lecture du 8 avril 2016 (non encore parue au Journal officiel). Position du Parlement européen du 14 avril 2016.

(4)  Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(5)  Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises [C(2003) 1422] (JO L 124 du 20.5.2003, p. 36).

(6)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(7)  Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (voir page 89 du présent Journal officiel).

(8)  Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178 du 17.7.2000, p. 1).

(9)  Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(10)  Directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

(11)  Règlement (CE) no 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

(12)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(13)  Règlement (UE) no 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (JO L 351 du 20.12.2012, p. 1).

(14)  Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public (JO L 345 du 31.12.2003, p. 90).

(15)  Règlement (UE) no 536/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux essais cliniques de médicaments à usage humain et abrogeant la directive 2001/20/CE (JO L 158 du 27.5.2014, p. 1).

(16)  Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 du Parlement européen et du Conseil relatif à la transmission à l’Office statistique des Communautés européennes d’informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).

(17)  JO C 192 du 30.6.2012, p. 7.

(18)  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(19)  Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).

(20)  Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).

(21)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).


DIRECTIVES

4.5.2016

FR

Journal officiel de l’Union européenne

L 119/89


DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 27 avril 2016

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité des régions (1),

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

(2)

Les principes et les règles applicables en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux, en particulier leur droit à la protection des données à caractère personnel. La présente directive vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice.

(3)

L’évolution rapide des technologies et la mondialisation ont créé de nouveaux défis pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent de traiter les données à caractère personnel comme jamais auparavant dans le cadre d’activités telles que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales.

(4)

Il convient de faciliter le libre flux des données à caractère personnel entre les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sein de l’Union, et le transfert de telles données vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. Ces évolutions obligent à mettre en place dans l’Union un cadre pour la protection des données à caractère personnel solide et plus cohérent, assorti d’une application rigoureuse des règles.

(5)

La directive 95/46/CE du Parlement européen et du Conseil (3) s’applique à l’ensemble des traitements des données à caractère personnel dans les États membres, à la fois dans le secteur public et le secteur privé. Elle ne s’applique cependant pas au traitement de données à caractère personnel mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que les activités dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

(6)

La décision-cadre 2008/977/JAI du Conseil (4) s’applique dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière. Son champ d’application se limite au traitement des données à caractère personnel qui sont transmises ou mises à disposition entre les États membres.

(7)

Il est crucial d’assurer un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, devrait être équivalent dans tous les États membres. Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige non seulement de renforcer les droits des personnes concernées et les obligations de ceux qui traitent les données à caractère personnel, mais aussi de renforcer les pouvoirs équivalents de suivi et de contrôle du respect des règles relatives à la protection des données à caractère personnel dans les États membres.

(8)

L’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et les règles relatives à la libre circulation de ces données.

(9)

Sur cette base, le règlement (UE) 2016/679 du Parlement européen et du Conseil (5) définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union.

(10)

Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du traité sur le fonctionnement de l’Union européenne pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.

(11)

Il convient dès lors que ces domaines soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, en respectant la nature spécifique de ces activités. Les autorités compétentes en question peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d’autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de la présente directive. Lorsqu’un tel organisme ou une telle entité traite des données à caractère personnel à des fins autres que celles prévues dans la présente directive, le règlement (UE) 2016/679 s’applique. Par conséquent, le règlement (UE) 2016/679 s’applique lorsqu’un organisme ou une entité recueille des données à caractère personnel à d’autres fins et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. Par exemple, les établissements financiers conservent, à des fins de détection ou de poursuites d’infractions pénales ou d’enquêtes en la matière, certaines données à caractère personnel qu’ils traitent et qu’ils ne transmettent aux autorités nationales compétentes que dans des cas spécifiques et conformément au droit des États membres. Un organisme ou une entité qui traite des données à caractère personnel pour le compte de ces autorités dans le cadre du champ d’application de la présente directive devrait être lié par un contrat ou un autre acte juridique et par les dispositions applicables aux sous-traitants en vertu de la présente directive, le règlement (UE) 2016/679 continuant de s’appliquer aux traitements de données à caractère personnel par le sous-traitant en dehors du champ d’application de la présente directive.

(12)

Les activités menées par la police ou d’autres autorités répressives sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non. Ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes. Parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale. Les États membres peuvent confier aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de sorte que le traitement de données à caractère personnel à ces autres fins, pour autant qu’il relève du champ d’application du droit de l’Union, relève du champ d’application du règlement (UE) 2016/679.

(13)

La notion d’infraction pénale au sens de la présente directive devrait être une notion autonome du droit de l’Union conforme à l’interprétation de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice»).

(14)

Étant donné que la présente directive ne devrait pas s’appliquer au traitement de données à caractère personnel effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union, il convient que les activités relatives à la sécurité nationale, les activités des agences ou des services responsables des questions de sécurité nationale et le traitement de données à caractère personnel par les États membres dans le cadre d’activités relevant du champ d’application du titre V, chapitre 2, du traité sur l’Union européenne ne soient pas considérées comme des activités relevant du champ d’application de la présente directive.

(15)

Afin d’assurer le même niveau de protection pour les personnes physiques à l’aide de droits opposables dans l’ensemble de l’Union et d’éviter que des divergences n’entravent les échanges de données à caractère personnel entre les autorités compétentes, la présente directive devrait prévoir des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Le rapprochement des législations des États membres ne devrait pas conduire à un affaiblissement de la protection des données à caractère personnel qu’elles offrent mais devrait, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans l’Union. Il convient que les États membres ne soient pas empêchés de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés des personnes concernées à l’égard du traitement des données à caractère personnel par les autorités compétentes.

(16)

La présente directive s’applique sans préjudice du principe du droit d’accès du public aux documents officiels. En vertu du règlement (UE) 2016/679, les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par cette autorité ou cet organisme conformément au droit de l’Union ou au droit de l’État membre auquel l’autorité publique ou l’organisme public est soumis, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel.

(17)

La protection conférée par la présente directive devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

(18)

Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s’appliquer aux traitements de données à caractère personnel à l’aide de procédés automatisés ainsi qu’aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application de la présente directive.

(19)

Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (6) s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel devraient être adaptés aux principes et aux règles fixés dans le règlement (UE) 2016/679.

(20)

La présente directive n’empêche pas les États membres de préciser, dans les règles nationales relatives aux procédures pénales, les opérations et les procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et les autres autorités judiciaires, notamment pour ce qui est des données à caractère personnel figurant dans les décisions judiciaires ou les documents relatifs aux procédures pénales.

(21)

Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

(22)

Les autorités publiques auxquelles des données à caractère personnel sont communiquées conformément à une obligation légale pour l’exercice de leurs fonctions officielles, telles que les autorités fiscales et douanières, les cellules d’enquête financière, les autorités administratives indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la surveillance des marchés de valeurs mobilières ne devraient pas être considérées comme des destinataires si elles reçoivent des données à caractère personnel qui sont nécessaires pour mener une enquête particulière dans l’intérêt général, conformément au droit de l’Union ou au droit d’un État membre. Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers. Le traitement des données à caractère personnel par les autorités publiques en question devrait être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement.

(23)

Les données génétiques devraient être définies comme les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique, qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne et qui résultent de l’analyse d’un échantillon biologique de la personne physique en question, notamment une analyse des chromosomes, de l’acide désoxyribonucléique (ADN) ou de l’acide ribonucléique (ARN), ou de l’analyse d’un autre élément permettant d’obtenir des informations équivalentes. Compte tenu du caractère complexe et sensible des informations génétiques, le risque est grand que le responsable du traitement fasse un usage abusif et réutilise des données à diverses fins. Il y a lieu d’interdire en principe toute discrimination fondée sur des caractéristiques génétiques.

(24)

Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (7) au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, des antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.

(25)

Tous les États membres sont affiliés à l’Organisation internationale de police criminelle (Interpol). Pour exécuter sa mission, Interpol reçoit, conserve et diffuse des données à caractère personnel pour aider les autorités compétentes à prévenir et à combattre la criminalité internationale. Il est dès lors approprié de renforcer la coopération entre l’Union et Interpol en favorisant un échange efficace de données à caractère personnel tout en garantissant le respect des libertés et droits fondamentaux en ce qui concerne le traitement automatique des données à caractère personnel. Lorsque des données à caractère personnel sont transférées de l’Union vers Interpol, et vers des pays qui ont délégué des membres à Interpol, la présente directive, en particulier ses dispositions relatives aux transferts internationaux, devrait s’appliquer. La présente directive devrait être sans préjudice des règles spécifiques énoncées dans la position commune 2005/69/JAI du Conseil (8) et dans la décision 2007/533/JAI du Conseil (9).

(26)

Tout traitement de données à caractère personnel doit être licite, loyal et transparent à l’égard des personnes physiques concernées et n’être effectué qu’aux fins spécifiques fixées par la loi. Cela n’interdit pas en soi aux autorités répressives de mener des activités telles que des enquêtes discrètes ou de la vidéosurveillance. Ces activités peuvent être menées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, pour autant qu’elles soient déterminées par la loi et qu’elles constituent une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des intérêts légitimes de la personne physique concernée. Le principe en matière de protection des données de traitement loyal est une notion distincte du droit à accéder à un tribunal impartial défini à l’article 47 de la Charte et à l’article 6 de la convention de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après dénommée «convention européenne des droits de l’homme»). Les personnes physiques devraient être informées des risques, règles, garanties et droits en ce qui concerne le traitement de données à caractère personnel les concernant et des modalités d’exercice de leurs droits par rapport au traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées au moment de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées. Il convient notamment de veiller à ce que les données à caractère personnel collectées ne soient pas excessives, ni conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d’un examen périodique. Les États membres devraient établir des garanties appropriées pour les données à caractère personnel conservées pendant des périodes plus longues à des fins archivistiques dans l’intérêt public, à des fins scientifiques, statistiques ou historiques.

(27)

Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de traiter des données à caractère personnel, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, et des enquêtes et poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour.

(28)

Afin de préserver la sécurité entourant le traitement et de prévenir tout traitement effectué en violation de la présente directive, il convient que les données à caractère personnel soient traitées de manière à garantir un niveau de sécurité et de confidentialité approprié, notamment en empêchant l’accès non autorisé à ces données et à l’équipement servant à leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement, et à tenir compte de l’état des connaissances et de la technologie disponible, des coûts de mise en œuvre au regard des risques et de la nature des données à caractère personnel à protéger.

(29)

Les données à caractère personnel devraient être collectées pour des finalités déterminées, explicites et légitimes relevant du champ d’application de la présente directive et elles ne devraient pas être traitées à des fins incompatibles avec les finalités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales, y compris de protection contre les menaces pour la sécurité publique et de prévention de telles menaces. Si des données à caractère personnel sont traitées par le même responsable du traitement ou un autre pour une finalité relevant du champ d’application de la présente directive autre que celle pour laquelle elles ont été collectées, un tel traitement devrait être permis à condition qu’il soit autorisé conformément aux dispositions légales applicables et qu’il soit nécessaire et proportionné au regard de cette autre finalité.

(30)

Il convient d’appliquer le principe d’exactitude des données tout en tenant compte de la nature et de la finalité du traitement concerné. Dans le cadre des procédures judiciaires notamment, les déclarations contenant des données à caractère personnel sont fondées sur les perceptions subjectives des personnes physiques et ne sont pas toujours vérifiables. Le principe d’exactitude ne devrait, par conséquent, pas s’appliquer à l’exactitude de la déclaration elle-même mais simplement au fait qu’une déclaration déterminée a été faite.

(31)

Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes concernées. Il importe dès lors d’établir une distinction claire, le cas échéant et dans la mesure du possible, entre les données à caractère personnel de différentes catégories de personnes concernées, telles que: les suspects; les personnes reconnues coupables d’une infraction pénale; les victimes et les autres parties, tels que les témoins; les personnes détenant des informations ou des contacts utiles; et les complices de personnes soupçonnées et de criminels condamnés. Cela ne devrait pas empêcher l’application du droit à la présomption d’innocence garanti par la Charte et par la convention européenne des droits de l’homme, telles qu’elles ont été interprétées respectivement par la Cour de justice et par la Cour européenne des droits de l’homme dans leur jurisprudence.

(32)

Les autorités compétentes devraient veiller à ce que les données à caractère personnel qui sont inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. Afin de garantir la protection des personnes physiques, l’exactitude, et la fiabilité des données à caractère personnel transmises ou mises à disposition ainsi que leur exhaustivité ou leur niveau de mise à jour, les autorités compétentes devraient, dans la mesure du possible, ajouter les informations nécessaires dans tous les transferts de données à caractère personnel.

(33)

Lorsque la présente directive fait référence au droit d’un État membre, à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, ce droit d’un État membre, cette base juridique ou cette mesure législative devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice et de la Cour européenne des droits de l’homme. Le droit des États membres qui réglemente le traitement des données à caractère personnel relevant du champ d’application de la présente directive devrait préciser au minimum les objectifs, les données à caractère personnel qui feront l’objet d’un traitement, les finalités du traitement et les procédures pour garantir l’intégrité et la confidentialité des données à caractère personnel et les procédures prévues pour la destruction de celles-ci, fournissant ainsi des garanties suffisantes vis-à-vis des risques d’utilisation abusive et d’arbitraire.

(34)

Le traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, devrait couvrir les opérations ou séries d’opérations appliquées à des données ou à des ensembles de données à caractère personnel à ces fins, qu’elles soient effectuées à l’aide de procédés automatisés ou d’une autre manière, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, le rapprochement ou l’interconnexion, la limitation du traitement, l’effacement ou la destruction. En particulier, les règles fixées dans la présente directive devraient s’appliquer au transfert de données à caractère personnel aux fins de la présente directive à un destinataire non soumis à celle-ci. Par «destinataire», on devrait entendre une personne physique ou morale, une autorité publique, un service ou tout autre organisme auquel une autorité compétente communique de manière licite les données à caractère personnel. Lorsque des données à caractère personnel ont été initialement collectées par une autorité compétente pour l’une des finalités prévues par la présente directive, le règlement (UE) 2016/679 devrait s’appliquer au traitement de ces données à des fins autres que celles prévues par la présente directive lorsqu’un tel traitement est autorisé par le droit de l’Union ou le droit d’un État membre. En particulier, les règles fixées dans le règlement (UE) 2016/679 devraient s’appliquer au transfert de données à caractère personnel à des fins ne relevant pas du champ d’application de la présente directive. Le règlement (UE) 2016/679 devrait s’appliquer au traitement de données à caractère personnel par un destinataire qui n’est pas une autorité compétente ou qui n’agit pas en cette qualité au sens de la présente directive et auquel une autorité compétente communique de manière licite des données à caractère personnel. Dans le cadre de la mise en œuvre de la présente directive, les États membres devraient aussi pouvoir préciser plus en détail les modalités d’application des règles du règlement (UE) 2016/679, sous réserve des conditions fixées dans ledit règlement.

(35)

Pour être licite, le traitement des données à caractère personnel au titre de la présente directive devrait être nécessaire à l’exécution d’une mission d’intérêt général par une autorité compétente, fondée sur le droit de l’Union ou le droit d’un État membre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Ces activités devraient couvrir la protection des intérêts vitaux de la personne concernée. Dans le cadre de l’exécution des missions de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales qui leur sont confiées de manière institutionnelle par la loi, les autorités compétentes peuvent demander ou ordonner aux personnes physiques de donner suite aux demandes qui leur sont adressées. Dans ce cas, le consentement de la personne concernée, au sens du règlement (UE) 2016/679, ne devrait pas constituer une base juridique pour le traitement de données à caractère personnel par les autorités compétentes. Lorsqu’elle est tenue de respecter une obligation légale, la personne concernée ne dispose pas d’une véritable liberté de choix; sa réaction ne pourrait dès lors être considérée comme une manifestation libre de sa volonté. Cela ne devrait pas empêcher les États membres de prévoir par la loi que la personne concernée peut consentir au traitement de données à caractère personnel la concernant aux fins de la présente directive, par exemple pour des tests ADN dans des enquêtes pénales ou le suivi de sa localisation au moyen de dispositifs électroniques dans le cadre de l’exécution de sanctions pénales.

(36)

Les États membres devraient prévoir que lorsque le droit de l’Union ou le droit d’un État membre applicable à l’autorité compétente qui transmet les données soumet le traitement de données à caractère personnel à des conditions spécifiques applicables dans certaines situations particulières, telles que l’utilisation de codes de traitement, l’autorité compétente qui transmet les données devrait informer le destinataire de ces données à caractère personnel de ces conditions et de l’obligation de les respecter. Ces conditions pourraient, par exemple, comprendre une interdiction de transmission ultérieure des données à caractère personnel à autrui, une interdiction d’utilisation desdites données à des fins autres que celles pour lesquelles elles ont été transmises au destinataire, ou une interdiction d’informer la personne concernée lorsque le droit à l’information est limité en l’absence d’autorisation préalable de l’autorité compétente qui transmet les données. Ces obligations devraient également s’appliquer aux transferts de données par l’autorité compétente qui transmet les données à des destinataires dans des pays tiers ou des organisations internationales. Les États membres devraient veiller à ce que l’autorité compétente qui transmet les données n’applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu du titre V, chapitres 4 et 5, du traité sur le fonctionnement de l’Union européenne des conditions différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État membre dont relève ladite autorité compétente.

(37)

Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans la présente directive n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Ces données à caractère personnel ne devraient pas faire l’objet d’un traitement, à moins que celui-ci ne s’accompagne de garanties appropriées pour les droits et libertés de la personne concernée fixées par la loi et ne soit permis dans des cas autorisés par la loi; lorsqu’il n’est pas déjà autorisé par une telle loi, qu’il ne soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne; ou qu’il ne porte sur des données manifestement rendues publiques par la personne concernée. Des garanties appropriées pour les droits et des libertés de la personne concernée pourraient comprendre la possibilité de ne collecter ces données qu’en rapport avec d’autres données relatives à la personne physique concernée, la possibilité de sécuriser les données collectées de manière adéquate, des règles plus strictes pour l’accès du personnel de l’autorité compétente aux données et l’interdiction de la transmission de ces données. Il convient également que le traitement de pareilles données soit autorisé par la loi lorsque la personne concernée a expressément marqué son accord au traitement qui est particulièrement intrusif pour elle. Toutefois, l’accord de la personne concernée ne devrait pas constituer en soi une base juridique pour le traitement de ces données à caractère personnel sensibles par les autorités compétentes.

(38)

La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques défavorables la concernant ou qui l’affecte de manière significative. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris la fourniture d’informations spécifiques à la personne concernée et le droit d’obtenir une intervention humaine, en particulier d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation ou de contester la décision. Tout profilage qui entraîne une discrimination à l’égard de personnes physiques sur la base de données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux, devrait être interdit en application des conditions établies aux articles 21 et 52 de la Charte.

(39)

Afin de permettre aux personnes concernées d’exercer leurs droits, toute information qui leur est communiquée devrait être aisément accessible, y compris sur le site internet du responsable du traitement, et facile à comprendre, et formulée en des termes clairs et simples. Ces informations devraient être adaptées aux besoins des personnes vulnérables telles que les enfants.

(40)

Des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par la présente directive, y compris les moyens de demander et, le cas échéant, d’obtenir, sans frais, notamment l’accès aux données à caractère personnel, et leur rectification ou leur effacement et la limitation du traitement. Le responsable du traitement devrait être tenu de répondre aux demandes de la personne concernée dans les meilleurs délais, à moins qu’il n’applique des limitations aux droits de la personne concernée conformément à la présente directive. En outre, si les demandes sont manifestement infondées ou excessives, par exemple lorsque la personne concernée présente de façon répétée et déraisonnable des demandes d’information ou fait une utilisation abusive de son droit de recevoir des informations, par exemple en fournissant des informations fausses ou trompeuses lorsqu’elle présente sa demande, le responsable du traitement devrait pouvoir exiger le paiement de frais raisonnables ou refuser de donner suite à la demande.

(41)

Lorsque le responsable du traitement demande que des informations supplémentaires lui soient fournies pour confirmer l’identité de la personne concernée, il convient que ces informations fassent l’objet d’un traitement uniquement pour cette finalité précise et qu’elles ne soient pas conservées pendant une durée excédant celle nécessaire au regard de ladite finalité.

(42)

Les informations suivantes, au moins, devraient être communiquées à la personne concernée: l’identité du responsable du traitement, l’existence d’une opération de traitement, les finalités du traitement, le droit d’introduire une réclamation et l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement ou la limitation du traitement. Ces informations pourraient figurer sur le site internet de l’autorité compétente. En outre, dans des cas précis et afin de permettre à la personne concernée d’exercer ses droits, celle-ci devrait être informée de la base juridique du traitement et de la durée pendant laquelle les données seront conservées, dans la mesure où ces informations complémentaires sont nécessaires pour assurer un traitement loyal des données à l’égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données sont traitées.

(43)

Une personne physique devrait avoir le droit d’accéder aux données qui ont été collectées la concernant et d’exercer ce droit facilement, à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer les finalités du traitement des données, la durée pendant laquelle les données sont traitées, ainsi que l’identité des destinataires, y compris les destinataires se trouvant dans des pays tiers. Lorsque ces communications comportent des informations relatives à l’origine des données à caractère personnel, ces informations ne devraient pas révéler l’identité des personnes physiques, en particulier les sources confidentielles. Pour que ce droit soit respecté, il suffit que la personne concernée dispose d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme qui lui permette de prendre connaissance de ces données et de vérifier si elles sont exactes et traitées conformément à la présente directive, de sorte qu’elle puisse exercer les droits que lui confère la présente directive. Cet aperçu pourrait être fourni sous la forme d’une copie des données à caractère personnel faisant l’objet du traitement.

(44)

Les États membres devraient pouvoir adopter des mesures législatives visant à retarder ou à limiter l’information des personnes concernées ou à ne pas leur accorder cette information, ou à leur limiter, complètement ou partiellement, l’accès aux données à caractère personnel les concernant, dès lors qu’une telle mesure constitue une mesure nécessaire et proportionnée dans une société démocratique, compte dûment tenu des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires, pour éviter de nuire à la prévention et à la détection des infractions pénales, aux enquêtes et poursuites en la matière ou à l’exécution de sanctions pénales, pour sauvegarder la sécurité publique ou la sécurité nationale, ou pour protéger les droits et libertés d’autrui. Le responsable du traitement devrait apprécier, en examinant chaque cas de façon concrète et individuelle, s’il y a lieu de limiter le droit d’accès partiellement ou complètement.

(45)

Tout refus d’accès ou toute limitation de l’accès devrait en principe être présenté par écrit à la personne concernée et indiquer les motifs factuels ou juridiques sur lesquels la décision est fondée.

(46)

Toute limitation des droits de la personne concernée doit respecter la Charte et la convention européenne des droits de l’homme, telles qu’elles sont interprétées respectivement par la Cour de justice et par la Cour européenne des droits de l’homme dans leur jurisprudence, et notamment respecter l’essence desdits droits et libertés.

(47)

Une personne physique devrait avoir le droit de faire rectifier des données à caractère personnel inexactes la concernant, en particulier lorsque cela touche aux faits, et disposer d’un droit d’effacement lorsque le traitement de ces données constitue une violation de la présente directive. Cependant, le droit de rectification ne devrait pas affecter, par exemple, la teneur d’une déposition. Une personne physique devrait également avoir le droit d’obtenir la limitation du traitement lorsqu’elle conteste l’exactitude des données à caractère personnel et qu’il ne peut être déterminé si ces données sont exactes ou non, ou lorsque les données à caractère personnel doivent être conservées à des fins probatoires. Plus particulièrement, les données à caractère personnel devraient faire l’objet d’une limitation du traitement plutôt qu’être effacées si, dans un cas déterminé, il existe des motifs raisonnables de penser que l’effacement pourrait nuire aux intérêts légitimes de la personne concernée. En pareil cas, les données faisant l’objet d’une limitation du traitement ne devraient être traitées que pour la finalité qui a empêché leur effacement. Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer les données sélectionnées vers un autre système de traitement, par exemple à des fins archivistiques, ou à rendre les données sélectionnées inaccessibles. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier. Cette rectification ou cet effacement des données à caractère personnel ou cette limitation du traitement devraient être communiqués aux destinataires auxquels les données ont été communiquées et aux autorités compétentes à l’origine des données inexactes. Les responsables du traitement devraient également cesser de continuer à diffuser ces données.

(48)

Lorsque le responsable du traitement refuse à une personne concernée le droit à l’information, le droit d’accès aux données à caractère personnel, de rectification ou d’effacement de celles-ci ou le droit de limitation du traitement, la personne concernée devrait avoir le droit de demander à l’autorité de contrôle nationale de vérifier la licéité du traitement. La personne concernée devrait être informée de ce droit. Lorsque l’autorité de contrôle agit au nom de la personne concernée, cette dernière devrait à tout le moins être informée par l’autorité de contrôle que toutes les vérifications ou tous les examens nécessaires par l’autorité compétente ont eu lieu. L’autorité de contrôle devrait également informer la personne concernée de son droit de former un recours juridictionnel.

(49)

Lorsque les données à caractère personnel sont traitées dans le cadre d’une enquête pénale ou d’une procédure judiciaire en matière pénale, les États membres devraient pouvoir prévoir que le droit à l’information, le droit d’accès aux données à caractère personnel, de rectification ou d’effacement de celles-ci, et le droit de limitation du traitement sont exercés conformément aux règles nationales relatives à la procédure judiciaire.

(50)

Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer que les activités de traitement respectent la présente directive. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que ceux-ci présentent pour les droits et libertés des personnes physiques. Les mesures prises par le responsable du traitement devraient comprendre l’établissement et la mise en œuvre de garanties spécifiques destinées au traitement de données à caractère personnel relatives aux personnes physiques vulnérables telles que les enfants.

(51)

Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données qui pourraient entraîner des dommages physiques matériels ou un préjudice moral, en particulier lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques ou l’appartenance syndicale; lorsque des données génétiques ou biométriques sont traitées afin d’identifier une personne de manière unique ou lorsque des données concernant la santé ou des données concernant la vie sexuelle et l’orientation sexuelle, ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes sont traitées; lorsque des aspects personnels sont évalués, en particulier dans le cadre de l’analyse et de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(52)

Il convient de déterminer la probabilité et la gravité du risque en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque élevé. On entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes concernées.

(53)

La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées, pour garantir que les exigences de la présente directive soient respectées. La mise en œuvre de telles mesures ne devrait pas dépendre uniquement de considérations économiques. Afin d’être en mesure de démontrer qu’il respecte la présente directive, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Lorsque le responsable du traitement a procédé à une analyse d’impact relative à la protection des données en vertu de la présente directive, les résultats devraient être pris en compte lors de l’élaboration desdites mesures et procédures. Les mesures pourraient consister notamment dans le recours à la pseudonymisation le plus tôt possible. Le recours à la pseudonymisation aux fins de la présente directive peut servir d’outil susceptible de faciliter, en particulier, le libre flux des données à caractère personnel au sein de l’espace de liberté, de sécurité et de justice.

(54)

La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités fixées dans la présente directive, y compris dans le cas où le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’un traitement est effectué pour le compte d’un responsable du traitement.

(55)

La réalisation du traitement par un sous-traitant devrait être régie par un acte juridique comprenant un contrat liant le sous-traitant au responsable du traitement et prévoyant notamment que le sous-traitant ne devrait agir que sur instruction du responsable du traitement. Le sous-traitant devrait tenir compte du principe de protection des données dès la conception et par défaut.

(56)

Afin d’apporter la preuve qu’il respecte la présente directive, le responsable du traitement ou le sous-traitant devrait tenir des registres pour toutes les catégories d’activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l’autorité de contrôle et de mettre ces registres à sa disposition sur demande pour qu’ils puissent servir au contrôle de ces opérations de traitement. Le responsable du traitement ou le sous-traitant qui traite des données à caractère personnel dans des systèmes de traitement non automatisés devrait s’être doté des moyens effectifs de démontrer la licéité du traitement, de pratiquer l’autocontrôle et de garantir l’intégrité et la sécurité des données, tels que des journaux ou d’autres formes de registres.

(57)

Des journaux devraient être établis au moins pour les opérations effectuées dans des systèmes de traitement automatisé telles que la collecte, la modification, la consultation, la communication, y compris les transferts, l’interconnexion ou l’effacement. L’identification de la personne qui a consulté ou communiqué les données à caractère personnel devrait apparaître dans le journal et cette identification devrait permettre d’établir les motifs des opérations de traitement. Les journaux devraient être utilisés uniquement à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données et pour les besoins de procédures pénales. L’autocontrôle comprend aussi les procédures disciplinaires internes des autorités compétentes.

(58)

Lorsque des opérations de traitement sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement devrait effectuer une analyse d’impact relative à la protection des données comprenant notamment les mesures, les garanties et les mécanismes envisagés pour assurer la protection des données à caractère personnel et pour apporter la preuve du respect de la présente directive. Les analyses d’impact devraient porter sur les systèmes et processus pertinents des opérations de traitement, et non sur des cas individuels.

(59)

Afin de garantir une protection effective des droits et libertés des personnes concernées, le responsable du traitement ou le sous-traitant devrait, dans certains cas, consulter l’autorité de contrôle préalablement au traitement.

(60)

Afin de préserver la sécurité et de prévenir tout traitement en violation de la présente directive, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, et tenir compte de l’état des connaissances, des coûts de mise en œuvre au regard des risques et de la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient d’apprécier les risques que présente le traitement de données, tels que la destruction, la perte, l’altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles, notamment, d’entraîner des dommages physiques, matériels ou un préjudice moral. Le responsable du traitement et le sous-traitant devraient veiller à ce que le traitement des données à caractère personnel ne soit pas effectué par des personnes non autorisées.

(61)

Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important pour la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, il convient qu’il notifie cette violation de données à caractère personnel à l’autorité de contrôle dans les meilleurs délais et, lorsque c’est possible, dans les 72 heures au plus tard après en avoir pris connaissance, à moins qu’il ne puisse démontrer, conformément au principe de responsabilité, qu’il est peu probable que la violation en question engendre un risque pour les droits et les libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

(62)

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, celle-ci devrait être informée dans les meilleurs délais afin qu’elle puisse prendre les précautions qui s’imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes physiques concernées soient effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec l’autorité de contrôle, dans le respect des directives données par celle-ci ou par d’autres autorités compétentes. Par exemple, la nécessité d’atténuer un risque immédiat de dommage pourrait justifier d’adresser rapidement une communication aux personnes concernées, alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires peut justifier un délai plus long pour la communication. Lorsque le fait de retarder ou de limiter la communication à la personne physique concernée d’une violation des données à caractère personnel ne permet pas d’éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires, d’éviter de nuire à la prévention et à la détection des infractions pénales, aux enquêtes et poursuites en la matière ou à l’exécution de sanctions pénales, de sauvegarder la sécurité publique ou la sécurité nationale, ou de protéger les droits et libertés d’autrui, la communication pourrait, dans des circonstances exceptionnelles, être omise.

(63)

Le responsable du traitement devrait désigner une personne qui l’aiderait à vérifier le respect, au niveau interne, des dispositions adoptées en vertu de la présente directive, sauf lorsqu’un État membre décide que des tribunaux et d’autres autorités judiciaires indépendantes en sont dispensés dans l’exercice de leur fonction juridictionnelle. Cette personne pourrait être un membre du personnel du responsable du traitement ayant reçu une formation spéciale dans le domaine du droit et des pratiques en matière de protection des données afin d’acquérir des connaissances spécialisées dans ce domaine. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement. Cette personne pourrait exercer cette fonction à temps plein ou à temps partiel. Un délégué à la protection des données peut être désigné conjointement par plusieurs responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille, par exemple en cas de partage des ressources au sein d’unités centrales. Cette personne peut également être désignée pour occuper différents postes au sein de la structure des responsables du traitement concernés. Elle devrait aider le responsable du traitement et les employés traitant des données à caractère personnel en les informant et en les conseillant sur le respect des obligations leur incombant en matière de protection des données. Ces délégués à la protection des données devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance conformément au droit de l’État membre.

(64)

Les États membres devraient veiller à ce qu’un transfert vers un pays tiers ou à une organisation internationale n’ait lieu que s’il est nécessaire à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, et si le responsable du traitement dans le pays tiers ou dans l’organisation internationale est une autorité compétente au sens de la présente directive. Un transfert ne devrait être effectué que par les autorités compétentes agissant en qualité de responsables du traitement, sauf dans le cas où les sous-traitants sont expressément chargés de procéder au transfert pour le compte des responsables du traitement. Un tel transfert peut avoir lieu lorsque la Commission a décidé que le pays tiers ou l’organisation internationale en question garantit un niveau adéquat de protection, lorsque des garanties appropriées ont été prévues ou lorsque des dérogations pour des situations particulières s’appliquent. Lorsque des données à caractère personnel sont transférées de l’Union à des responsables du traitement, à des sous-traitants ou à d’autres destinataires dans des pays tiers ou à des organisations internationales, il importe que le niveau de protection des personnes physiques prévu dans l’Union par la présente directive ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou à des sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale.

(65)

Lorsque des données à caractère personnel sont transférées d’un État membre vers des pays tiers ou à des organisations internationales, un tel transfert ne devrait en principe avoir lieu qu’après que l’État membre auprès duquel les données ont été collectées a autorisé le transfert. Il est dans l’intérêt d’une coopération efficace en matière répressive que lorsque le caractère immédiat de la menace pour la sécurité publique d’un État membre ou d’un pays tiers ou pour les intérêts essentiels d’un État membre est tel qu’il rend impossible l’obtention d’une autorisation préalable en temps utile, l’autorité compétente puisse transférer les données à caractère personnel pertinentes vers le pays tiers concerné ou à l’organisation internationale concernée sans cette autorisation préalable. Les États membres devraient prévoir que les éventuelles conditions particulières applicables au transfert devraient être communiquées aux pays tiers ou aux organisations internationales. Les transferts ultérieurs de données à caractère personnel devraient être soumis à l’autorisation préalable de l’autorité compétente qui a procédé au transfert initial. Lorsqu’elle statue sur une demande d’autorisation d’un transfert ultérieur, l’autorité compétente qui a procédé au transfert initial devrait prendre dûment en considération l’ensemble des facteurs pertinents, y compris la gravité de l’infraction pénale, les conditions particulières applicables au transfert initial des données et la finalité pour laquelle les données ont été transférées initialement, la nature et les conditions de l’exécution de la sanction pénale, et le niveau de protection des données à caractère personnel dans le pays tiers ou au sein de l’organisation internationale vers lequel ou laquelle les données à caractère personnel sont transférées ultérieurement. L’autorité compétente qui a effectué le transfert initial devrait aussi pouvoir assortir le transfert ultérieur de conditions particulières. Ces conditions particulières peuvent être décrites, par exemple, dans des codes de traitement.

(66)

La Commission devrait pouvoir décider, avec effet dans l’ensemble de l’Union, que certains pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale offrent un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l’ensemble de l’Union en ce qui concerne les pays tiers ou les organisations internationales qui sont réputés offrir un tel niveau de protection. Dans ces cas, les transferts de données à caractère personnel vers ces pays devraient pouvoir avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation spécifique, sauf lorsqu’un autre État membre auprès duquel les données ont été collectées doit autoriser le transfert.

(67)

Eu égard aux valeurs fondamentales sur lesquelles est fondée l’Union, en particulier la protection des droits de l’homme, la Commission devrait, dans son évaluation d’un pays tiers ou d’un territoire ou d’un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers en particulier respecte l’état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l’homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l’ordre public et le droit pénal. Lors de l’adoption, à l’égard d’un territoire ou d’un secteur déterminé dans un pays tiers, d’une décision d’adéquation, il y a lieu de prendre en compte des critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d’application des normes juridiques applicables et du droit en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties assurant un niveau adéquat de protection essentiellement équivalent à celui qui est assuré au sein de l’Union, en particulier lorsque les données sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif ou juridictionnel.

(68)

Outre les engagements internationaux pris par le pays tiers ou l’organisation internationale, la Commission devrait également tenir compte des obligations découlant de la participation du pays tiers ou de l’organisation internationale à des systèmes multilatéraux ou régionaux, notamment en matière de protection des données à caractère personnel, ainsi que de la mise en œuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l’adhésion du pays tiers à la convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Aux fins de l’évaluation du niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité européen de la protection des données établi par le règlement (UE) 2016/679 (ci-après dénommé «comité»). La Commission devrait également tenir compte de toute décision d’adéquation pertinente qu’elle aurait adoptée conformément à l’article 45 du règlement (UE) 2016/679.

(69)

La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale. Dans ses décisions d’adéquation, la Commission devrait prévoir un mécanisme d’examen périodique de leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays tiers ou l’organisation internationale en question et tenir compte de l’ensemble des évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale.

(70)

La Commission devrait également pouvoir constater qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale n’assure plus un niveau adéquat de protection des données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences de la présente directive relatives aux transferts moyennant des garanties appropriées et aux dérogations pour des situations particulières soient respectées. Il y aurait lieu de prévoir des procédures de consultation entre la Commission et le pays tiers ou l’organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l’organisation internationale des motifs de sa conclusion et engager des consultations en vue de remédier à la situation.

(71)

Les transferts qui ne sont pas fondés sur une décision d’adéquation ne devraient être autorisés que lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant assurant la protection des données à caractère personnel, ou lorsque le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et estime, au vu de cette évaluation, qu’il existe des garanties appropriées en matière de protection des données à caractère personnel. Ces instruments juridiquement contraignants pourraient, par exemple, être des accords bilatéraux juridiquement contraignants que les États membres ont conclus et mis en œuvre dans leur ordre juridique et que les personnes concernées pourraient faire exécuter, qui respectent les exigences en matière de protection des données et les droits des personnes concernées, y compris le droit à un recours administratif ou juridictionnel effectif. Lorsqu’il évalue toutes les circonstances entourant le transfert de données, le responsable du traitement devrait pouvoir tenir compte des accords de coopération conclus entre Europol ou Eurojust et des pays tiers qui permettent un échange de données à caractère personnel. Le responsable du traitement devrait aussi pouvoir prendre en compte le fait que le transfert de données à caractère personnel sera soumis à des obligations de confidentialité et au principe de spécificité, ce qui garantit que les données ne seront pas traitées à des fins autres que celles pour lesquelles elles ont été transférées. En outre, le responsable du traitement devrait prendre en compte le fait que les données à caractère personnel ne seront pas utilisées pour demander, prononcer ou mettre à exécution une condamnation à la peine de mort ou toute forme de traitement cruel et inhumain. Si ces conditions peuvent être considérées comme des garanties appropriées permettant le transfert de données, le responsable du traitement devrait pouvoir exiger des garanties supplémentaires.

(72)

En l’absence de décision d’adéquation ou de garanties appropriées, un transfert ou une catégorie de transferts ne peuvent être effectués que dans des situations particulières, s’ils sont nécessaires à la sauvegarde des intérêt vitaux de la personne concernée ou d’une autre personne ou à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l’État membre qui transfère les données à caractère personnel le prévoit; à la prévention d’une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers; dans un cas particulier, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou, dans un cas particulier, à la constatation, l’exercice ou la défense de droits en justice. Ces dérogations devraient être interprétées de manière restrictive et ne devraient pas permettre des transferts fréquents, massifs et structurels de données à caractère personnel ni des transferts de données à grande échelle, mais des transferts qui devraient être limités aux données strictement nécessaires. Ces transferts devraient être documentés et mis à la disposition de l’autorité de contrôle, sur demande, afin qu’elle puisse en vérifier la licéité.

(73)

Les autorités compétentes des États membres appliquent les accords internationaux bilatéraux ou multilatéraux conclus avec des pays tiers qui sont en vigueur dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, aux fins d’échanger les informations nécessaires pour leur permettre d’accomplir les missions que leur confie la loi. En principe, ce processus se déroule moyennant, ou tout au moins avec, la coopération des autorités compétentes dans les pays tiers concernés aux fins de la présente directive, parfois même en l’absence d’un accord international bilatéral ou multilatéral. Cependant, dans certains cas particuliers, il se peut que les procédures normales exigeant de contacter ladite autorité dans le pays tiers soient inefficaces ou inappropriées, notamment parce que le transfert ne pourrait être effectué en temps opportun ou parce que cette autorité dans le pays tiers ne respecte pas l’état de droit ou n’observe pas les règles et normes internationales dans le domaine des droits de l’homme de sorte que les autorités compétentes des États membres pourraient décider de transférer les données à caractère personnel directement à des destinataires établis dans ces pays tiers. C’est notamment le cas lorsqu’il est urgent de transférer des données à caractère personnel afin de sauver la vie d’une personne qui risque de devenir la victime d’une infraction pénale ou pour éviter la commission imminente d’un crime, y compris d’un acte de terrorisme. Même si ce transfert entre autorités compétentes et destinataires établis dans des pays tiers ne devrait avoir lieu que dans certains cas précis, la présente directive devrait prévoir les conditions qui réglementent ces cas. Ces dispositions ne devraient pas être considérées comme constituant des dérogations aux accords internationaux bilatéraux ou multilatéraux en vigueur dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière. Ces règles devraient s’appliquer en complément des autres règles énoncées dans la présente directive, en particulier celles sur la licéité du traitement et celles du chapitre V.

(74)

Lorsque des données à caractère personnel franchissent les frontières, cela peut accroître le risque que les personnes physiques ne puissent exercer leur droit à la protection des données pour se protéger de l’utilisation ou la divulgation illicite de ces dernières. De même, les autorités de contrôle peuvent être confrontées à l’impossibilité d’examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontalier peuvent également être freinés par les pouvoirs insuffisants dont elles disposent en matière de prévention ou de recours et par l’hétérogénéité des régimes juridiques. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, afin qu’elles puissent échanger des informations avec leurs homologues étrangers.

(75)

L’institution d’autorités de contrôle dans les États membres, qui sont en mesure d’exercer leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Il y a lieu que les autorités de contrôle surveillent l’application des dispositions adoptées en vertu de la présente directive et contribuent à ce que son application soit cohérente dans l’ensemble de l’Union, afin de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel. À cet effet, les autorités de contrôle devraient coopérer entre elles et avec la Commission.

(76)

Les États membres peuvent confier à une autorité de contrôle déjà créée en vertu du règlement (UE) 2016/679 la responsabilité des missions incombant aux autorités de contrôle nationales à instituer au titre de la présente directive.

(77)

Les États membres devraient avoir la possibilité d’instituer plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative. Il convient que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à l’assistance mutuelle et à la coopération avec d’autres autorités de contrôle dans l’ensemble de l’Union. Chaque autorité de contrôle devrait disposer d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.

(78)

Les autorités de contrôle devraient être soumises à des mécanismes indépendants de contrôle ou de suivi de leur gestion financière, à condition que ce contrôle financier ne nuise pas à leur indépendance.

(79)

Les conditions générales applicables au(x) membre(s) de l’autorité de contrôle devraient être fixées par le droit de l’État membre et prévoir notamment que ces membres sont nommés par le parlement ou le gouvernement ou le chef d’État de l’État membre, sur proposition du gouvernement ou d’un membre du gouvernement, ou du parlement ou de sa chambre, ou par un organisme indépendant chargé, par le droit de l’État membre, de procéder à la nomination selon une procédure transparente. Afin de garantir l’indépendance de l’autorité de contrôle, il convient que le ou les membres de celle-ci agissent avec intégrité, s’abstiennent de tout acte incompatible avec leurs fonctions et n’exercent, pendant la durée de leur mandat, aucune activité professionnelle incompatible, rémunérée ou non. Afin de garantir l’indépendance de l’autorité de contrôle, il convient que le personnel soit choisi par cette dernière, avec la possibilité qu’intervienne dans ce processus un organe indépendant qui en serait chargé par le droit de l’État membre.

(80)

Bien que la présente directive s’applique également aux activités des juridictions nationales et autres autorités judiciaires, la compétence des autorités de contrôle ne devrait pas s’étendre au traitement des données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance des juges dans l’accomplissement de leurs missions judiciaires. Il convient que cette exception soit limitée aux activités judiciaires dans le cadre d’affaires portées devant les juridictions et qu’elle ne s’applique pas aux autres activités auxquelles les juges pourraient être associés conformément au droit d’un État membre. Les États membres devraient aussi pouvoir prévoir que la compétence de l’autorité de contrôle ne s’étend pas aux traitements de données à caractère personnel effectués par d’autres autorités judiciaires indépendantes dans l’exercice de leur fonction juridictionnelle, par exemple le ministère public. En tout état de cause, le respect des règles de la présente directive par les juridictions et autres autorités judiciaires indépendantes fait toujours l’objet d’un contrôle indépendant conformément à l’article 8, paragraphe 3, de la Charte.

(81)

Chaque autorité de contrôle devrait traiter les réclamations introduites par les personnes concernées et enquêter sur les affaires en question ou les transmettre à l’autorité de contrôle compétente. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d’espèce. L’autorité de contrôle devrait informer la personne concernée de l’état d’avancement et de l’issue de la réclamation dans un délai raisonnable. Si l’affaire requiert un complément d’enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée.

(82)

Afin d’assurer l’efficacité, la fiabilité et la cohérence du contrôle du respect et de l’application de la présente directive dans l’ensemble de l’Union conformément au traité sur le fonctionnement de l’Union européenne tel qu’il est interprété par la Cour de justice, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, dont celui d’enquêter, d’adopter des mesures correctrices et d’émettre des avis consultatifs, qui constituent les moyens nécessaires à l’accomplissement de leurs missions. Cependant, leurs pouvoirs ne devraient pas interférer avec les règles spécifiques relatives à la procédure pénale, y compris pour les enquêtes et les poursuites concernant les infractions pénales, ni avec l’indépendance du pouvoir judiciaire. Sans préjudice des pouvoirs des autorités chargées des poursuites en vertu du droit de l’État membre, les autorités de contrôle devraient aussi avoir le pouvoir de porter les violations de la présente directive à l’attention des autorités judiciaires ou d’ester en justice. Les pouvoirs des autorités de contrôle devraient être exercés en conformité avec les garanties procédurales appropriées prévues par le droit de l’Union et le droit des États membres, d’une manière impartiale et équitable et dans un délai raisonnable. Cela signifie, en particulier, que toute mesure devrait être appropriée, nécessaire et proportionnée en vue de garantir le respect de la présente directive, compte tenu des circonstances de l’espèce, respecter le droit de chacun à être entendu avant que ne soit prise toute mesure individuelle susceptible d’affecter défavorablement la personne concernée et éviter les coûts superflus ainsi que les désagréments excessifs pour la personne concernée. Les pouvoirs d’enquête en ce qui concerne l’accès aux installations devraient être exercés dans le respect des exigences spécifiques du droit de l’État membre, par exemple l’obligation d’obtenir une autorisation judiciaire préalable. Si une décision juridiquement contraignante est adoptée, elle devrait donner lieu à un contrôle juridictionnel dans l’État membre de l’autorité de contrôle qui a adopté cette décision.

(83)

Les autorités de contrôle devraient s’entraider et se prêter mutuellement assistance dans l’accomplissement de leurs missions afin d’assurer l’application cohérente et l’exécution des dispositions adoptées en vertu de la présente directive.

(84)

Le comité devrait contribuer à l’application cohérente de la présente directive dans l’ensemble de l’Union, notamment en conseillant la Commission et en favorisant la coopération des autorités de contrôle dans l’ensemble de l’Union.

(85)

Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une autorité de contrôle unique et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte lorsqu’elle estime qu’il y a violation des droits que lui confèrent les dispositions adoptées en vertu de la présente directive, ou si l’autorité de contrôle ne donne pas à la suite de sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée au cas d’espèce. L’autorité de contrôle compétente devrait informer la personne concernée de l’état d’avancement et de l’issue de la réclamation dans un délai raisonnable. Si l’affaire requiert un complément d’enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée. Afin de faciliter l’introduction des réclamations, chaque autorité de contrôle devrait prendre des mesures telles que la fourniture d’un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d’autres moyens de communication ne soient exclus.

(86)

Toute personne physique ou morale devrait disposer du droit à un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, du pouvoir d’adopter des mesures correctrices et du pouvoir d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit ne couvre pas d’autres mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par l’autorité de contrôle. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit de l’État membre en question. Ces juridictions devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.

(87)

Lorsqu’une personne concernée estime que les droits que lui confère la présente directive ne sont pas respectés, elle devrait avoir le droit de mandater un organisme qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données à caractère personnel et qui est constitué conformément au droit d’un État membre, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle et pour qu’il exerce le droit à un recours juridictionnel. Le droit de représentation des personnes concernées ne devrait pas porter atteinte au droit procédural d’un État membre qui peut prévoir que les personnes concernées doivent être obligatoirement représentées devant les juridictions nationales par un avocat au sens de la directive 77/249/CEE du Conseil (10).

(88)

Tout dommage qu’une personne pourrait subir du fait d’un traitement qui constitue une violation des dispositions adoptées en vertu de la présente directive devrait être réparé par le responsable du traitement ou toute autre autorité compétente en vertu du droit des États membres. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, de façon à tenir pleinement compte des objectifs de la présente directive. Cela est sans préjudice de toute action en dommages-intérêts fondée sur la violation d’autres règles du droit de l’Union ou du droit des États membres. Lorsqu’il est fait référence à un traitement illicite ou qui constitue une violation des dispositions adoptées en vertu de la présente directive, cela concerne aussi un traitement qui constitue une violation des actes d’exécution adoptés en vertu de la présente directive. Les personnes concernées devraient recevoir une indemnisation complète et effective pour le dommage subi.

(89)

Toute personne physique ou morale, qu’elle soit soumise au droit privé ou au droit public, qui enfreint la présente directive devrait faire l’objet de sanctions. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes les mesures nécessaires à leur mise en œuvre.

(90)

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission en ce qui concerne le niveau adéquat de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale, ainsi que la forme et les procédures de l’assistance mutuelle et les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (11).

(91)

Il convient d’avoir recours à la procédure d’examen pour l’adoption d’actes d’exécution en ce qui concerne le niveau adéquat de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale ainsi que la forme et les procédures de l’assistance mutuelle et les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité, étant donné que ces actes sont de portée générale.

(92)

La Commission devrait adopter des actes d’exécution immédiatement applicables lorsque, dans des cas dûment justifiés liés à un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale, qui n’assure plus un niveau adéquat de protection, des raisons d’urgence impérieuses le requièrent.

(93)

Étant donné que les objectifs de la présente directive, à savoir protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel, et garantir le libre échange des données à caractère personnel par les autorités compétentes au sein de l’Union, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison des dimensions ou des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(94)

Les dispositions particulières des actes de l’Union adoptés dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière avant la date d’adoption de la présente directive qui réglementent le traitement des données à caractère personnel entre États membres ou l’accès d’autorités désignées des États membres aux systèmes d’information créés en vertu des traités devraient demeurer inchangées, tels que, par exemple, les dispositions particulières relatives à la protection des données à caractère personnel appliquées en vertu de la décision 2008/615/JAI (12) ou l’article 23 de la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (13). Étant donné que l’article 8 de la Charte et l’article 16 du traité sur le fonctionnement de l’Union européenne exigent que le droit fondamental à la protection des données à caractère personnel soit garanti de manière homogène dans l’ensemble de l’Union, la Commission devrait évaluer la situation en ce qui concerne la relation entre la présente directive et les actes adoptés avant la date d’adoption de la présente directive qui réglementent le traitement des données à caractère personnel entre États membres ou l’accès d’autorités désignées des États membres aux systèmes d’information créés en vertu des traités, afin d’apprécier la nécessité de mettre ces dispositions particulières en conformité avec la présente directive. Le cas échéant, la Commission devrait faire des propositions en vue d’assurer la cohérence des règles juridiques relatives au traitement des données à caractère personnel.

(95)

Afin d’assurer une protection exhaustive et cohérente des données à caractère personnel dans l’Union, il convient que les accords internationaux qui ont été conclus par les États membres avant la date d’entrée en vigueur de la présente directive et qui respectent les dispositions pertinentes du droit de l’Union applicables avant cette date, restent en vigueur jusqu’à ce qu’ils soient modifiés, remplacés ou révoqués.

(96)

Les États membres devraient disposer d’un délai maximal de deux ans à compter de la date d’entrée en vigueur de la présente directive pour sa transposition. Les traitements déjà en cours à cette date devraient être mis en conformité avec la présente directive dans un délai de deux ans après son entrée en vigueur. Toutefois, lorsque ces traitements ont lieu en conformité avec le droit de l’Union applicable avant la date d’entrée en vigueur de la présente directive, les exigences prévues par celle-ci concernant la consultation préalable de l’autorité de contrôle ne devraient pas s’appliquer aux opérations de traitement déjà en cours à ladite date, étant donné que ces exigences, de par leur nature même, doivent être satisfaites avant le traitement. Lorsque les États membres recourent au délai de mise en œuvre plus long, venant à expiration sept ans après la date d’entrée en vigueur de la présente directive, pour se conformer aux obligations en matière de journalisation pour les systèmes de traitement automatisé mis en place avant cette date, le responsable du traitement ou le sous-traitant devrait s’être doté des moyens effectifs de démontrer la licéité du traitement des données, de pratiquer l’autocontrôle et de garantir l’intégrité et la sécurité des données, tels que des journaux ou d’autres formes de registres.

(97)

La présente directive s’entend sans préjudice des règles relatives à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, et la pédopornographie qui figurent dans la directive 2011/93/UE du Parlement européen et du Conseil (14).

(98)

Il y a dès lors lieu d’abroger la décision-cadre 2008/977/JAI.

(99)

Conformément à l’article 6 bis du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Royaume-Uni et l’Irlande ne sont pas liés par les règles fixées dans la présente directive concernant le traitement de données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application du chapitre 4 ou 5 du titre V de la troisième partie du traité sur le fonctionnement de l’Union européenne, lorsque le Royaume-Uni et l’Irlande ne sont pas liés par les règles qui régissent des formes de coopération judiciaire en matière pénale ou de coopération policière dans le cadre desquelles les dispositions fixées sur la base de l’article 16 du traité sur le fonctionnement de l’Union européenne doivent être respectées.

(100)

Conformément aux articles 2 et 2 bis du protocole no 22 sur la position du Danemark, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark n’est pas lié par les règles fixées dans la présente directive ni soumis à leur application, lorsqu’elles concernent le traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application du chapitre 4 ou 5 du titre V de la troisième partie du traité sur le fonctionnement de l’Union européenne. Étant donné que la présente directive développe l’acquis de Schengen, en vertu du titre V de la troisième partie du traité sur le fonctionnement de l’Union européenne, le Danemark décide, conformément à l’article 4 dudit protocole, dans un délai de six mois après l’adoption de la présente directive, s’il transposera celle-ci dans son droit national.

(101)

En ce qui concerne l’Islande et la Norvège, la présente directive constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord conclu par le Conseil de l’Union européenne, la République d’Islande et le Royaume de Norvège sur l’association de ces deux États à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (15).

(102)

En ce qui concerne la Suisse, la présente directive constitue un développement des dispositions de l’acquis de Schengen au sens de l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (16).

(103)

En ce qui concerne le Liechtenstein, la présente directive constitue un développement des dispositions de l’acquis de Schengen au sens du protocole entre l’Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l’adhésion de la Principauté de Liechtenstein à l’accord entre l’Union européenne, la Communauté européenne et la Confédération suisse sur l’association de la Confédération suisse à la mise en œuvre, à l’application et au développement de l’acquis de Schengen (17).

(104)

La présente directive respecte les droits fondamentaux et observe les principes reconnus par la Charte, tels qu’ils sont consacrés par le traité sur le fonctionnement de l’Union européenne, et notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial. Les limitations apportées à ces droits sont conformes à l’article 52, paragraphe 1, de la Charte car elles sont nécessaires pour répondre à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

(105)

Conformément à la déclaration politique commune du 28 septembre 2011 des États membres et de la Commission sur les documents explicatifs, les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d’une directive et les parties correspondantes des mesures nationales de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée.

(106)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 et a rendu son avis le 7 mars 2012 (18).

(107)

La présente directive ne saurait empêcher les États membres de mettre en œuvre l’exercice des droits des personnes concernées en matière d’information, d’accès aux données à caractère personnel, de rectification ou d’effacement de celles-ci et de limitation du traitement dans le cadre de poursuites pénales, et les éventuelles limitations de ces droits, dans leurs règles nationales en matière de procédure pénale,

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

CHAPITRE I

Dispositions générales

Article premier

Objet et objectifs

1.   La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

2.   Conformément à la présente directive, les États membres:

a)

protègent les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel; et

b)

veillent à ce que l’échange de données à caractère personnel par les autorités compétentes au sein de l’Union, lorsque cet échange est requis par le droit de l’Union ou le droit d’un État membre, ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

3.   La présente directive n’empêche pas les États membres de prévoir des garanties plus étendues que celles établies dans la présente directive pour la protection des droits et des libertés des personnes concernées à l’égard du traitement des données à caractère personnel par les autorités compétentes.

Article 2

Champ d’application

1.   La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1.

2.   La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

3.   La présente directive ne s’applique pas au traitement de données à caractère personnel effectué:

a)

dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union;

b)

par les institutions, organes, et organismes de l’Union.

Article 3

Définitions

Aux fins de la présente directive, on entend par:

1.

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

2.

«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

3.

«limitation du traitement», le marquage de données à caractère personnel conservées en vue de limiter leur traitement futur;

4.

«profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne;

5.

«pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

6.

«fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

7.

«autorité compétente»:

a)

toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou

b)

tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

8.

«responsable du traitement», l’autorité compétente qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre;

9.

«sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

10.

«destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

11.

«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

12.

«données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;

13.

«données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

14.

«données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;

15.

«autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 41;

16.

«organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.

CHAPITRE II

Principes

Article 4

Principes relatifs au traitement des données à caractère personnel

1.   Les États membres prévoient que les données à caractère personnel sont:

a)

traitées de manière licite et loyale;

b)

collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d’une manière incompatible avec ces finalités;

c)

adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;

d)

exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder;

e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

f)

traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

2.   Le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que:

a)

le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre; et

b)

le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union ou au droit d’un État membre.

3.   Le traitement des données par le même ou par un autre responsable du traitement peut comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées à l’article 1er, paragraphe 1, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée.

4.   Le responsable du traitement est responsable du respect des paragraphes 1, 2 et 3 et est en mesure de démontrer que ces dispositions sont respectées.

Article 5

Délais de conservation et d’examen

Les États membres prévoient que des délais appropriés sont fixés pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Des règles procédurales garantissent le respect de ces délais.

Article 6

Distinction entre différentes catégories de personnes concernées

Les États membres prévoient que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que:

a)

les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale;

b)

les personnes reconnues coupables d’une infraction pénale;

c)

les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale; et

d)

les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l’une des personnes visées aux points a) et b).

Article 7

Distinction entre les données à caractère personnel et vérification de la qualité des données à caractère personnel

1.   Les États membres prévoient que les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

2.   Les États membres prévoient que les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, chaque autorité compétente vérifie, dans la mesure du possible, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données à caractère personnel, sont ajoutées des informations nécessaires permettant à l’autorité compétente destinataire de juger de l’exactitude, de l’exhaustivité, et de la fiabilité des données à caractère personnel, et de leur niveau de mise à jour.

3.   S’il s’avère que des données à caractère personnel inexactes ont été transmises ou que des données à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 16.

Article 8

Licéité du traitement

1.   Les États membres prévoient que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1er, paragraphe 1, et où il est fondé sur le droit de l’Union ou le droit d’un État membre.

2.   Une disposition du droit d’un État membre qui réglemente le traitement relevant du champ d’application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement.

Article 9

Conditions spécifiques applicables au traitement

1.   Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le règlement (UE) 2016/679 s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.

2.   Lorsque les autorités compétentes sont chargées par le droit d’un État membre d’exécuter des missions autres que celles exécutées pour les finalités énoncées à l’article 1er, paragraphe 1, le règlement (UE) 2016/679 s’applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.

3.   Les États membres prévoient que, lorsque le droit de l’Union ou le droit d’un État membre applicable à l’autorité compétente qui transmet les données soumet le traitement à des conditions spécifiques, l’autorité compétente qui transmet les données informe le destinataire de ces données à caractère personnel de ces conditions et de l’obligation de les respecter.

4.   Les États membres prévoient que l’autorité compétente qui transmet les données n’applique pas aux destinataires dans les autres États membres ou aux services, organes et organismes établis en vertu des chapitres 4 et 5 du titre V du traité sur le fonctionnement de l’Union européenne des conditions en vertu du paragraphe 3 différentes de celles applicables aux transferts de données similaires à l’intérieur de l’État membre dont relève l’autorité compétente qui transmet les données.

Article 10

Traitement portant sur des catégories particulières de données à caractère personnel

Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement:

a)

lorsqu’ils sont autorisés par le droit de l’Union ou le droit d’un État membre;

b)

pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique; ou

c)

lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée.

Article 11

Décision individuelle automatisée

1.   Les États membres prévoient que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte de manière significative, est interdite, à moins qu’elle ne soit autorisée par le droit de l’Union ou le droit d’un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement.

2.   Les décisions visées au paragraphe 1 du présent article ne sont pas fondées sur les catégories particulières de données à caractère personnel visées à l’article 10, à moins que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ne soient en place.

3.   Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l’article 10 est interdit, conformément au droit de l’Union.

CHAPITRE III

Droits de la personne concernée

Article 12

Communication et modalités de l’exercice des droits de la personne concernée

1.   Les États membres prévoient que le responsable du traitement prend des mesures raisonnables pour fournir toute information visée à l’article 13 et procède à toute communication relative au traitement ayant trait à l’article 11, aux articles 14 à 18 et à l’article 31 à la personne concernée d’une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande.

2.   Les États membres prévoient que le responsable du traitement facilite l’exercice des droits conférés à la personne concernée par l’article 11 et les articles 14 à 18.

3.   Les États membres prévoient que le responsable du traitement informe par écrit, dans les meilleurs délais, la personne concernée des suites données à sa demande.

4.   Les États membres prévoient qu’aucun paiement n’est exigé pour fournir les informations visées à l’article 13 et pour procéder à toute communication et prendre toute mesure au titre de l’article 11, des articles 14 à 18 et de l’article 31. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:

a)

soit exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder à la communication ou prendre les mesures demandées;

b)

soit refuser de donner suite à la demande.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

5.   Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée à l’article 14 ou 16, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

Article 13

Informations à mettre à la disposition de la personne concernée ou à lui fournir

1.   Les États membres prévoient que le responsable du traitement met à la disposition de la personne concernée au moins les informations suivantes:

a)

l’identité et les coordonnées du responsable du traitement;

b)

le cas échéant, les coordonnées du délégué à la protection des données;

c)

les finalités du traitement auquel sont destinées les données à caractère personnel;

d)

le droit d’introduire une réclamation auprès d’une autorité de contrôle et les coordonnées de ladite autorité;

e)

l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel relatives à une personne concernée.

2.   En plus des informations visées au paragraphe 1, les États membres prévoient, par la loi, que le responsable du traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits:

a)

la base juridique du traitement,

b)

la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

c)

le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d’organisations internationales;

d)

au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.

3.   Les États membres peuvent adopter des mesures législatives visant à retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou à ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:

a)

éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b)

éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales;

c)

protéger la sécurité publique;

d)

protéger la sécurité nationale;

e)

protéger les droits et libertés d’autrui.

4.   Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements susceptibles de relever, dans leur intégralité ou en partie, d’un quelconque des points énumérés au paragraphe 3.

Article 14

Droit d’accès par la personne concernée

Sous réserve de l’article 15, les États membres prévoient que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données ainsi que les informations suivantes:

a)

les finalités du traitement ainsi que sa base juridique;

b)

les catégories de données à caractère personnel concernées;

c)

les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d)

lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

e)

l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données à caractère personnel, ou la limitation du traitement des données à caractère personnel relatives à la personne concernée;

f)

le droit d’introduire une réclamation auprès de l’autorité de contrôle et les coordonnées de ladite autorité;

g)

la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible quant à leur source.

Article 15

Limitations du droit d’accès

1.   Les États membres peuvent adopter des mesures législatives limitant, entièrement ou partiellement, le droit d’accès de la personne concernée, dès lors et aussi longtemps qu’une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

a)

éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b)

éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales;

c)

protéger la sécurité publique;

d)

protéger la sécurité nationale;

e)

protéger les droits et libertés d’autrui.

2.   Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements de données susceptibles de relever, dans leur intégralité ou en partie, des points a) à e) du paragraphe 1.

3.   Dans les cas visés aux paragraphes 1 et 2, les États membres prévoient que le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au paragraphe 1. Les États membres prévoient que le responsable du traitement informe la personne concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.

4.   Les États membres prévoient que le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition des autorités de contrôle.

Article 16

Droit de rectification ou d’effacement des données à caractère personnel et limitation du traitement

1.   Les États membres prévoient le droit pour la personne concernée d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, les États membres prévoient que la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant à cet effet une déclaration complémentaire.

2.   Les États membres exigent que le responsable du traitement efface dans les meilleurs délais les données à caractère personnel et accordent à la personne concernée le droit d’obtenir du responsable du traitement l’effacement dans les meilleurs délais de données à caractère personnel la concernant lorsque le traitement constitue une violation des dispositions adoptées en vertu de l’article 4, 8 ou 10 ou lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.

3.   Au lieu de procéder à l’effacement, le responsable du traitement limite le traitement lorsque:

a)

l’exactitude des données à caractère personnel est contestée par la personne concernée et qu’il ne peut être déterminé si les données sont exactes ou non; ou

b)

les données à caractère personnel doivent être conservées à des fins probatoires.

Lorsque le traitement est limité en vertu du premier alinéa, point a), le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.

4.   Les États membres prévoient que le responsable du traitement informe la personne concernée par écrit de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Les États membres peuvent adopter des mesures législatives limitant, en tout ou partie, l’obligation de fournir ces informations, dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour:

a)

éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b)

éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales;

c)

protéger la sécurité publique;

d)

protéger la sécurité nationale;

e)

protéger les droits et libertés d’autrui.

Les États membres prévoient que le responsable du traitement informe la personne concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.

5.   Les États membres prévoient que le responsable du traitement communique la rectification des données à caractère personnel inexactes à l’autorité compétente dont proviennent les données à caractère personnel inexactes.

6.   Les États membres prévoient que, lorsque des données à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité au titre des paragraphes 1, 2 et 3, le responsable du traitement adresse une notification aux destinataires et que ceux-ci rectifient ou effacent les données à caractère personnel ou limitent le traitement des données à caractère personnel sous leur responsabilité.

Article 17

Exercice des droits de la personne concernée et vérification par l’autorité de contrôle

1.   Dans les cas visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, les États membres adoptent des mesures afin que les droits de la personne concernée puissent également être exercés par l’intermédiaire de l’autorité de contrôle compétente.

2.   Les États membres prévoient que le responsable du traitement informe la personne concernée de la possibilité qu’elle a d’exercer ses droits par l’intermédiaire de l’autorité de contrôle en application du paragraphe 1.

3.   Lorsque le droit visé au paragraphe 1 est exercé, l’autorité de contrôle informe au moins la personne concernée du fait qu’elle a procédé à toutes les vérifications nécessaires ou à un examen. L’autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel.

Article 18

Droits des personnes concernées lors des enquêtes judiciaires et des procédures pénales

Les États membres peuvent prévoir que les droits visés aux articles 13, 14 et 16 sont exercés conformément au droit d’un État membre lorsque les données à caractère personnel figurent dans une décision judiciaire ou un casier ou dossier judiciaire faisant l’objet d’un traitement lors d’une enquête judiciaire et d’une procédure pénale.

CHAPITRE IV

Responsable du traitement et sous-traitant

Section 1

Obligations générales

Article 19

Obligations incombant au responsable du traitement

1.   Les États membres prévoient que le responsable du traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, met en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à la présente directive. Ces mesures sont réexaminées et actualisées, si nécessaire.

2.   Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

Article 20

Protection des données dès la conception et protection des données par défaut

1.   Les États membres prévoient que, compte tenu de l’état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant lors de la détermination des moyens du traitement que lors du traitement proprement dit, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires, afin de répondre aux exigences de la présente directive et de protéger les droits des personnes concernées.

2.   Les États membres prévoient que le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cette obligation s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne concernée.

Article 21

Responsables conjoints du traitement

1.   Les États membres prévoient que, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect de la présente directive, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées à l’article 13, par voie d’accord entre eux, sauf si et dans la mesure où leurs obligations respectives sont définies par le droit de l’Union ou le droit d’un État membre auquel les responsables du traitement sont soumis. Le point de contact pour les personnes concernées est désigné dans l’accord. Les États membres peuvent préciser lequel des responsables conjoints peut servir de point de contact unique pour que les personnes concernées puissent exercer leurs droits.

2.   Indépendamment des termes de l’accord visé au paragraphe 1, les États membres peuvent prévoir que la personne concernée peut exercer les droits que lui confère les dispositions adoptées en vertu de la présente directive à l’égard de et contre chacun des responsables du traitement.

Article 22

Sous-traitant

1.   Les États membres prévoient que le responsable du traitement, lorsqu’un traitement doit être effectué pour son compte, fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences de la présente directive et garantisse la protection des droits de la personne concernée.

2.   Les États membres prévoient que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3.   Les États membres prévoient que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a)

n’agit que sur instruction du responsable du traitement;

b)

veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c)

aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions relatives aux droits de la personne concernée;

d)

selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation des services de traitement des données, et détruit les copies existantes, à moins que le droit de l’Union ou le droit d’un État membre n’exige la conservation des données à caractère personnel;

e)

met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect du présent article;

f)

respecte les conditions visées aux paragraphes 2 et 3 pour recruter un autre sous-traitant.

4.   Le contrat ou l’autre acte juridique visé au paragraphe 3 revêt la forme écrite, y compris la forme électronique.

5.   Si, en violation de la présente directive, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Article 23

Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant

Les États membres prévoient que le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite que sur instruction du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.

Article 24

Registre des activités de traitement

1.   Les États membres prévoient que les responsables du traitement tiennent un registre de toutes les catégories d’activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:

a)

le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement et du délégué à la protection des données;

b)

les finalités du traitement;

c)

les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;

d)

une description des catégories de personnes concernées et des catégories de données à caractère personnel;

e)

le cas échéant, le recours au profilage;

f)

le cas échéant, les catégories de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale;

g)

une indication de la base juridique de l’opération de traitement, y compris les transferts, à laquelle les données à caractère personnel sont destinées;

h)

dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données à caractère personnel;

i)

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 29, paragraphe 1.

2.   Les États membres prévoient que chaque sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a)

le nom et les coordonnées du ou des sous-traitants, de chaque responsable du traitement pour le compte duquel le sous-traitant agit et, le cas échéant, du délégué à la protection des données;

b)

les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c)

le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, lorsqu’il en est expressément chargé par le responsable du traitement, y compris l’identification de ce pays tiers ou de cette organisation internationale;

d)

dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 29, paragraphe 1.

3.   Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite, y compris la forme électronique.

Le responsable du traitement et le sous-traitant mettent ces registres à la disposition de l’autorité de contrôle, sur demande.

Article 25

Journalisation

1.   Les États membres prévoient que des journaux sont établis au moins pour les opérations de traitement suivantes dans des systèmes de traitement automatisé: la collecte, la modification, la consultation, la communication, y compris les transferts, l’interconnexion et l’effacement. Les journaux des opérations de consultation et de communication permettent d’établir le motif, la date et l’heure de celles-ci et, dans la mesure du possible, l’identification de la personne qui a consulté ou communiqué les données à caractère personnel, ainsi que l’identité des destinataires de ces données à caractère personnel.

2.   Les journaux sont utilisés uniquement à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données à caractère personnel et à des fins de procédures pénales.

3.   Le responsable du traitement et le sous-traitant mettent les journaux à la disposition de l’autorité de contrôle, sur demande.

Article 26

Coopération avec l’autorité de contrôle

Les États membres prévoient que le responsable du traitement et le sous-traitant coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.

Article 27

Analyse d’impact relative à la protection des données

1.   Lorsqu’un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, les États membres prévoient que le responsable du traitement effectue préalablement au traitement une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

2.   L’analyse visée au paragraphe 1 contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect de la présente directive, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

Article 28

Consultation préalable de l’autorité de contrôle

1.   Les États membres prévoient que le responsable du traitement ou le sous-traitant consulte l’autorité de contrôle préalablement au traitement des données à caractère personnel qui fera partie d’un nouveau fichier à créer:

a)

lorsqu’une analyse d’impact relative à la protection des données, telle qu’elle est prévue à l’article 27, indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; ou

b)

lorsque le type de traitement, en particulier, en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

2.   Les États membres prévoient que l’autorité de contrôle est consultée dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national ou d’une mesure réglementaire fondée sur une telle mesure législative qui se rapporte au traitement.

3.   Les États membres prévoient que l’autorité de contrôle peut établir une liste des opérations de traitement devant faire l’objet d’une consultation préalable conformément au paragraphe 1.

4.   Les États membres prévoient que le responsable du traitement fournit à l’autorité de contrôle l’analyse d’impact relative à la protection des données en vertu de l’article 27 et, sur demande, toute autre information afin de permettre à l’autorité de contrôle d’apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s’y rapportent.

5.   Les États membres prévoient que, lorsque l’autorité de contrôle est d’avis que le traitement prévu, visé au paragraphe 1 du présent article, constituerait une violation des dispositions adoptées en vertu de la présente directive, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de six semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement, et le cas échéant au sous-traitant, et elle peut faire usage des pouvoirs visés à l’article 47. Ce délai peut être prolongé d’un mois, en fonction de la complexité du traitement prévu. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de toute prorogation dans un délai d’un mois à compter de la réception de la demande de consultation, ainsi que des motifs du retard.

Section 2

Sécurité des données

Article 29

Sécurité du traitement

1.   Les États membres prévoient que, compte tenu de l’état des connaissances, des coûts de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel visées à l’article 10.

2.   En ce qui concerne le traitement automatisé, chaque État membre prévoit que le responsable du traitement ou le sous-traitant met en œuvre, à la suite d’une évaluation des risques, des mesures destinées à:

a)

empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement (contrôle de l’accès aux installations);

b)

empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée (contrôle des supports de données);

c)

empêcher l’introduction non autorisée de données à caractère personnel dans le fichier, ainsi que l’inspection, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées (contrôle de la conservation);

d)

empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données (contrôle des utilisateurs);

e)

garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données à caractère personnel sur lesquelles porte leur autorisation (contrôle de l’accès aux données);

f)

garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission);

g)

garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l’introduction);

h)

empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou supprimées de façon non autorisée (contrôle du transport);

i)

garantir que les systèmes installés puissent être rétablis en cas d’interruption (restauration);

j)

garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).

Article 30

Notification à l’autorité de contrôle d’une violation de données à caractère personnel

1.   Les États membres prévoient qu’en cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après en avoir pris connaissance, à moins qu’il soit peu probable que la violation en question n’engendre des risques pour les droits et les libertés d’une personne physique. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.   Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.   La notification visée au paragraphe 1 doit, à tout le moins:

a)

décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b)

communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)

décrire les conséquences probables de la violation de données à caractère personnel;

d)

décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.   Si et dans la mesure où il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.   Les États membres prévoient que le responsable du traitement documente toute violation de données à caractère personnel visée au paragraphe 1, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.

6.   Les États membres prévoient que, lorsque la violation de données à caractère personnel porte sur des données à caractère personnel qui ont été transmises par le responsable du traitement d’un autre État membre ou à celui-ci, les informations visées au paragraphe 3 sont communiquées au responsable du traitement de cet État membre dans les meilleurs délais.

Article 31

Communication à la personne concernée d’une violation de données à caractère personnel

1.   Les États membres prévoient que, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et les libertés d’une personne physique, le responsable du traitement communique la violation à la personne concernée dans les meilleurs délais.

2.   La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et les mesures visées à l’article 30, paragraphe 3, points b), c) et d).

3.   La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a)

le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

b)

le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et les libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c)

elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4.   Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

5.   La communication à la personne concernée visée au paragraphe 1 du présent article peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l’article 13, paragraphe 3.

Section 3

Délégué à la protection des données

Article 32

Désignation du délégué à la protection des données

1.   Les États membres prévoient que le responsable du traitement désigne un délégué à la protection des données. Les États membres peuvent dispenser les tribunaux et d’autres autorités judiciaires indépendantes de cette obligation lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle.

2.   Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à exercer les missions visées à l’article 34.

3.   Un seul délégué à la protection des données peut être désigné pour plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille.

4.   Les États membres prévoient que le responsable du traitement publie les coordonnées du délégué à la protection des données et les communique à l’autorité de contrôle.

Article 33

Fonction du délégué à la protection des données

1.   Les États membres prévoient que le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2.   Le responsable du traitement aide le délégué à la protection des données à exercer les missions visées à l’article 34 en fournissant les ressources nécessaires pour exercer ces missions ainsi que l’accès aux données à caractère personnel et aux traitements, et lui permettant d’entretenir ses connaissances spécialisées.

Article 34

Missions du délégué à la protection des données

Les États membres prévoient que le responsable du traitement confie au délégué à la protection des données au moins les missions suivantes:

a)

informer et conseiller le responsable du traitement et les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la présente directive et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b)

contrôler le respect de la présente directive, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant à des opérations de traitement, et les audits s’y rapportant;

c)

dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 27;

d)

coopérer avec l’autorité de contrôle;

e)

faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 28, et mener des consultations, le cas échéant, sur tout autre sujet.

CHAPITRE V

Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales

Article 35

Principes généraux applicables aux transferts de données à caractère personnel

1.   Les États membres prévoient qu’un transfert, par des autorités compétentes, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après leur transfert vers un pays tiers ou à une organisation internationale, y compris des transferts ultérieurs vers un autre pays tiers ou à une autre organisation internationale, n’a lieu, sous réserve du respect des dispositions nationales adoptées en application d’autres dispositions de la présente directive, que lorsque les conditions définies dans le présent chapitre sont respectées, à savoir:

a)

le transfert est nécessaire aux fins énoncées à l’article 1er, paragraphe 1;

b)

les données à caractère personnel sont transférées à un responsable du traitement dans un pays tiers ou à une organisation internationale qui est une autorité compétente aux fins visées à l’article 1er, paragraphe 1;

c)

en cas de transmission ou de mise à disposition de données à caractère personnel provenant d’un autre État membre, celui-ci a préalablement autorisé ce transfert conformément à son droit national;

d)

la Commission a adopté une décision d’adéquation en application de l’article 36, ou, en l’absence d’une telle décision, des garanties appropriées ont été prévues ou existent en application de l’article 37 ou, en l’absence de décision d’adéquation au titre de l’article 36 et de garanties appropriées conformément à l’article 37, des dérogations pour des situations particulières s’appliquent en vertu de l’article 38; et

e)

en cas de transfert ultérieur vers un autre pays tiers ou à une autre organisation internationale, l’autorité compétente qui a procédé au transfert initial ou une autre autorité compétente du même État membre autorise le transfert ultérieur, après avoir dûment pris en considération l’ensemble des facteurs pertinents, y compris la gravité de l’infraction pénale, la finalité pour laquelle les données à caractère personnel ont été transférées initialement et le niveau de protection des données à caractère personnel dans le pays tiers ou au sein de l’organisation internationale vers lequel/laquelle les données à caractère personnel sont transférées ultérieurement.

2.   Les États membres prévoient que les transferts effectués sans l’autorisation préalable d’un autre État membre prévue au paragraphe 1, point c), sont autorisés uniquement lorsque le transfert de données à caractère personnel est nécessaire aux fins de la prévention d’une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers ou pour les intérêts essentiels d’un État membre et si l’autorisation préalable ne peut pas être obtenue en temps utile. L’autorité à laquelle il revient d’accorder l’autorisation préalable est informée sans retard.

3.   Toutes les dispositions du présent chapitre sont appliquées de manière que le niveau de protection des personnes physiques assuré par la présente directive ne soit pas compromis.

Article 36

Transferts sur la base d’une décision d’adéquation

1.   Les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.

2.   Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte en particulier des éléments suivants:

a)

l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;

b)

l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

c)

les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants et de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3.   La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut constater au moyen d’un acte d’exécution qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. L’acte d’exécution précise son champ d’application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b), du présent article. L’acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 58, paragraphe 2.

4.   La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3.

5.   Lorsque les informations disponibles révèlent, en particulier à la suite de l’examen visé au paragraphe 3 du présent article, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission abroge, modifie ou suspend, si nécessaire, la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 58, paragraphe 2.

Pour des raisons d’urgence impérieuses dûment justifiées, la Commission adopte des actes d’exécution immédiatement applicables en conformité avec la procédure visée à l’article 58, paragraphe 3.

6.   La Commission engage des consultations avec le pays tiers ou l’organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7.   Les États membres prévoient qu’une décision adoptée en vertu du paragraphe 5 est sans préjudice des transferts de données à caractère personnel vers le pays tiers, le territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l’organisation internationale en question, effectués en application des articles 37 et 38.

8.   La Commission publie au Journal officiel de l’Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu’un niveau de protection adéquat est ou n’est plus assuré.

Article 37

Transferts moyennant des garanties appropriées

1.   En l’absence de décision en vertu de l’article 36, paragraphe 3, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque:

a)

des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant; ou

b)

le responsable du traitement a évalué toutes les circonstances du transfert et estime qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.

2.   Le responsable du traitement informe l’autorité de contrôle des catégories de transferts relevant du paragraphe 1, point b).

3.   Lorsqu’un transfert est effectué sur la base du paragraphe 1, point b), ce transfert est documenté et la documentation est mise à la disposition de l’autorité de contrôle, sur demande, et comporte la date et l’heure du transfert, des informations sur l’autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.

Article 38

Dérogations pour des situations particulières

1.   En l’absence de décision d’adéquation en vertu de l’article 36 ou de garanties appropriées en vertu de l’article 37, les États membres prévoient qu’un transfert ou une catégorie de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à condition que le transfert soit nécessaire:

a)

à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne;

b)

à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l’État membre transférant les données à caractère personnel le prévoit;

c)

pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers;

d)

dans des cas particuliers, aux fins énoncées à l’article 1er, paragraphe 1; ou

e)

dans un cas particulier, à la constatation, à l’exercice ou à la défense de droits en justice en rapport avec les fins énoncées à l’article 1er, paragraphe 1.

2.   Les données à caractère personnel ne sont pas transférées si l’autorité compétente qui transfère les données estime que les libertés et droits fondamentaux de la personne concernée l’emportent sur l’intérêt public dans le cadre du transfert visé au paragraphe 1, points d) et e).

3.   Lorsqu’un transfert est effectué sur la base du paragraphe 1, point b), ce transfert est documenté et la documentation est mise à la disposition de l’autorité de contrôle, sur demande, et indique la date et l’heure du transfert, donne des informations sur l’autorité compétente destinataire, indique la justification du transfert et les données à caractère personnel transférées.

Article 39

Transferts de données à caractère personnel à des destinataires établis dans des pays tiers

1.   Par dérogation à l’article 35, paragraphe 1, point b), et sans préjudice de tout accord international visé au paragraphe 2 du présent article, le droit de l’Union ou le droit d’un État membre peut prévoir que les autorités compétentes au sens de l’article 3, point 7) a), peuvent, dans certains cas particuliers, transférer des données à caractère personnel directement aux destinataires établis dans des pays tiers, uniquement lorsque les autres dispositions de la présente directive sont respectées et que toutes les conditions ci-après sont remplies:

a)

le transfert est strictement nécessaire à l’exécution de la mission de l’autorité compétente qui transfère les données ainsi que le prévoit le droit de l’Union ou le droit d’un État membre aux fins énoncées à l’article 1er, paragraphe 1;

b)

l’autorité compétente qui transfère les données établit qu’il n’existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l’intérêt public nécessitant le transfert dans le cas en question;

c)

l’autorité compétente qui transfère les données estime que le transfert à une autorité qui est compétente aux fins visées à l’article 1er, paragraphe 1, dans le pays tiers est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun;

d)

l’autorité qui est compétente aux fins visées à l’article 1er, paragraphe 1, dans le pays tiers est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié;

e)

l’autorité compétente qui transfère les données informe le destinataire de la finalité ou des finalités déterminées pour lesquelles les données à caractère personnel ne doivent faire l’objet d’un traitement que par cette dernière, à condition qu’un tel traitement soit nécessaire.

2.   Par accord international visé au paragraphe 1, on entend tout accord international bilatéral ou multilatéral en vigueur entre les États membres et des pays tiers dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.

3.   L’autorité compétente qui transfère les données informe l’autorité de contrôle des transferts relevant du présent article.

4.   Lorsqu’un transfert est effectué sur la base du paragraphe 1, ce transfert est documenté.

Article 40

Coopération internationale dans le domaine de la protection des données à caractère personnel

La Commission et les États membres prennent, à l’égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a)

élaborer des mécanismes de coopération internationaux destinés à faciliter l’application effective de la législation relative à la protection des données à caractère personnel;

b)

se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, notamment par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et pour d’autres libertés et droits fondamentaux;

c)

associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l’application de la législation relative à la protection des données à caractère personnel;

d)

favoriser l’échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

CHAPITRE VI

Autorités de contrôle indépendantes

Section 1

Statut d’indépendance

Article 41

Autorité de contrôle

1.   Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application de la présente directive, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommées «autorité de contrôle»).

2.   Chaque autorité de contrôle contribue à l’application cohérente de la présente directive dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3.   Les États membres peuvent prévoir qu’une autorité de contrôle instituée au titre du règlement (UE) 2016/679 est l’autorité de contrôle visée dans la présente directive et prend en charge les missions de l’autorité de contrôle devant être instituée en vertu du paragraphe 1 du présent article.

4.   Lorsqu’un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité visé à l’article 51.

Article 42

Indépendance

1.   Chaque État membre prévoit que chaque autorité de contrôle agit en toute indépendance dans l’exercice de ses missions et des pouvoirs dont elle est investie conformément à la présente directive.

2.   Les États membres prévoient que, dans l’exercice de leurs missions et de leurs pouvoirs conformément à la présente directive, le ou les membres de leurs autorités de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.

3.   Le ou les membres des autorités de contrôle des États membres s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non.

4.   Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l’assistance mutuelle, de la coopération et de la participation au comité.

5.   Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du membre ou des membres de l’autorité de contrôle concernée.

6.   Chaque État membre veille à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance et qu’elle dispose d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.

Article 43

Conditions générales applicables aux membres de l’autorité de contrôle

1.   Les États membres prévoient que chacun des membres de leurs autorités de contrôle est nommé selon une procédure transparente par:

leur parlement,

leur gouvernement,

leur chef d’État, ou

un organisme indépendant chargé de procéder à la nomination en vertu du droit de l’État membre.

2.   Chaque membre a les qualifications, l’expérience et les compétences nécessaires, en particulier dans le domaine de la protection des données à caractère personnel, pour l’exercice de leurs fonctions et de leurs pouvoirs.

3.   Les fonctions d’un membre prennent fin à l’échéance de son mandat, en cas de démission ou de mise à la retraite d’office, conformément au droit de l’État membre concerné.

4.   Un membre ne peut être démis de ses fonctions que s’il a commis une faute grave ou s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions.

Article 44

Règles relatives à l’établissement de l’autorité de contrôle

1.   Chaque État membre prévoit, par la loi, tous les éléments suivants:

a)

la création de chaque autorité de contrôle;

b)

les qualifications et les conditions d’éligibilité requises pour être nommé membre de chaque autorité de contrôle;

c)

les règles et les procédures pour la nomination du ou des membres de chaque autorité de contrôle;

d)

la durée du mandat du ou des membres de chaque autorité de contrôle, qui ne peut être inférieure à quatre ans, sauf pour la première nomination après le 6 mai 2016, dont une partie peut être d’une durée plus courte lorsque cela est nécessaire pour protéger l’indépendance de l’autorité de contrôle au moyen d’une procédure de nominations échelonnées;

e)

le caractère renouvelable ou non renouvelable du mandat du ou des membres de chaque autorité de contrôle et, si c’est le cas, le nombre de mandats;

f)

les conditions régissant les obligations du ou des membres et des agents de chaque autorité de contrôle, les interdictions d’activités, d’emplois et d’avantages incompatibles avec celles-ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l’emploi.

2.   Le membre ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l’Union ou au droit de l’État membre, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l’exercice de leurs missions ou de leurs pouvoirs, y compris après la cessation de leurs activités. Pendant la durée de leur mandat, ce devoir de secret professionnel s’applique en particulier au signalement par des personnes physiques de violations de la présente directive.

Section 2

Compétence, missions et pouvoirs

Article 45

Compétence

1.   Chaque État membre prévoit que chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément à la présente directive, sur le territoire de l’État membre dont elle relève.

2.   Chaque État membre prévoit que chaque autorité de contrôle n’est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. Les États membres peuvent prévoir que leur autorité de contrôle n’est pas compétente pour contrôler les opérations de traitement effectuées par d’autres autorités judiciaires indépendantes lorsqu’elles agissent dans l’exercice de leur fonction juridictionnelle.

Article 46

Missions

1.   Chaque État membre prévoit que, sur son territoire, chaque autorité de contrôle:

a)

contrôle l’application des dispositions adoptées en application de la présente directive et de ses mesures d’exécution et veille au respect de celles-ci;

b)

favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement;

c)

conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement;

d)

encourage la sensibilisation des responsables du traitement et des sous-traitants aux obligations qui leur incombent en vertu de la présente directive;

e)

fournit, sur demande, à toute personne concernée, des informations sur l’exercice de ses droits découlant de la présente directive et, le cas échéant, coopère à cette fin avec les autorités de contrôle d’autres États membres;

f)

traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association conformément à l’article 55, enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

g)

vérifie la licéité du traitement en vertu de l’article 17, et informe la personne concernée dans un délai raisonnable de l’issue de la vérification, conformément au paragraphe 3 dudit article, ou des motifs ayant empêché sa réalisation;

h)

coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente de la présente directive et des mesures prises pour en assurer le respect;

i)

effectue des enquêtes sur l’application de la présente directive, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique;

j)

suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et de la communication;

k)

fournit des conseils sur les opérations de traitement visées à l’article 28; et

l)

contribue aux activités du comité.

2.   Chaque autorité de contrôle facilite l’introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d’autres moyens de communication ne soient exclus.

3.   L’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et pour le délégué à la protection des données.

4.   Lorsqu’une demande est manifestement infondée ou excessive, en raison, notamment, de son caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur ses coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.

Article 47

Pouvoirs

1.   Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs d’enquête effectifs. Ces pouvoirs comprennent au moins celui d’obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l’exercice de ses missions.

2.   Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs effectifs en matière d’adoption de mesures correctrices, tels que, par exemple:

a)

avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions adoptées en vertu de la présente directive;

b)

ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions adoptées en vertu de la présente directive, le cas échéant, de manière spécifique et dans un délai déterminé, en particulier en ordonnant la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application de l’article 16;

c)

limiter temporairement ou définitivement, y compris interdire, un traitement.

3.   Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs consultatifs effectifs pour conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l’article 28 et d’émettre, de sa propre initiative ou sur demande, des avis à l’attention de son parlement national et de son gouvernement ou, conformément à son droit national, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel.

4.   L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit de l’État membre conformément à la Charte.

5.   Chaque État membre prévoit, par la loi, que chaque autorité de contrôle a le pouvoir de porter les violations des dispositions adoptées en vertu de la présente directive à la connaissance des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire respecter les dispositions adoptées en vertu de la présente directive.

Article 48

Signalement des violations

Les États membres prévoient que les autorités compétentes mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des violations de la présente directive.

Article 49

Rapports d’activité

Chaque autorité de contrôle établit un rapport annuel sur ses activités, qui peut comprendre une liste des types de violations notifiées et des types de sanctions imposées. Les rapports sont transmis au parlement national, au gouvernement et à d’autres autorités désignées par le droit de l’État membre. Ils sont mis à la disposition du public, de la Commission et du comité.

CHAPITRE VII

Coopération

Article 50

Assistance mutuelle

1.   Chaque État membre prévoit que leurs autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer la présente directive de façon cohérente, et met en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’information et les mesures de contrôle, telles que les demandes de consultation, les inspections et les enquêtes.

2.   Chaque État membre prévoit que chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d’une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre notamment la transmission d’informations utiles sur la conduite d’une enquête.

3.   Les demandes d’assistance contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées.

4.   Une autorité de contrôle saisie d’une demande ne peut refuser d’y satisfaire, sauf si:

a)

elle n’est pas compétente pour traiter l’objet de la demande ou les mesures qu’elle est invitée à exécuter; ou

b)

satisfaire à la demande constituerait une violation de la présente directive ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise.

5.   L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement du dossier ou des mesures prises pour donner suite à la demande. L’autorité de contrôle requise donne les motifs de tout refus de satisfaire à une demande en application du paragraphe 4.

6.   Les autorités de contrôle requises communiquent, en règle générale, par voie électronique et au moyen d’un formulaire type, les informations demandées par d’autres autorités de contrôle.

7.   Les autorités de contrôle requises ne perçoivent pas de frais pour une mesure qu’elles prennent à la suite d’une demande d’assistance mutuelle. Les autorités de contrôle peuvent convenir de règles concernant l’octroi de dédommagements entre elles pour des dépenses spécifiques résultant de la fourniture d’une assistance mutuelle dans des circonstances exceptionnelles.

8.   La Commission peut, par voie d’actes d’exécution, préciser la forme et les procédures de l’assistance mutuelle visée au présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 58, paragraphe 2.

Article 51

Missions du comité

1.   Le comité institué par le règlement (UE) 2016/679 exerce les missions ci-après en ce qui concerne les activités de traitement relevant du champ d’application de la présente directive:

a)

conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification de la présente directive;

b)

examiner, de sa propre initiative, à la demande de l’un de ses membres ou à la demande de la Commission, toute question portant sur l’application de la présente directive, et publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente de la présente directive;

c)

élaborer, à l’intention des autorités de contrôle, des lignes directrices concernant l’application des mesures visées à l’article 47, paragraphes 1 et 3;

d)

publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du présent alinéa, en vue d’établir les violations de données à caractère personnel et de déterminer les meilleurs délais visés à l’article 30, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation des données à caractère personnel;

e)

publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du présent alinéa concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, comme le prévoit l’article 31, paragraphe 1;

f)

faire le bilan de l’application pratique des lignes directrices, des recommandations et des bonnes pratiques visées aux points b) et c);

g)

rendre à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, y compris concernant l’évaluation visant à déterminer si ce pays tiers, ce territoire, ce secteur déterminé ou cette organisation internationale n’assure plus un niveau adéquat de protection;

h)

promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle;

i)

promouvoir l’élaboration de programmes de formation conjoints et faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou avec des organisations internationales;

j)

promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur le droit et les pratiques en matière de protection des données.

En ce qui concerne le point g) du premier alinéa, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, le territoire ou le secteur déterminé dans ce pays tiers, ou avec l’organisation internationale.

2.   Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l’urgence de la question.

3.   Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 58, paragraphe 1, et les publie.

4.   La Commission informe le comité des suites qu’elle a réservées aux avis, lignes directrices, recommandations et bonnes pratiques publiés par le comité.

CHAPITRE VIII

Voies de recours, responsabilité et sanctions

Article 52

Droit d’introduire une réclamation auprès d’une autorité de contrôle

1.   Sans préjudice de tout autre recours administratif ou juridictionnel, les États membres prévoient que toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle unique, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation des dispositions adoptées en vertu de la présente directive.

2.   Les États membres prévoit que, si la réclamation n’est pas introduite auprès de l’autorité de contrôle compétente au titre de l’article 45, paragraphe 1, l’autorité de contrôle auprès de laquelle la réclamation a été introduite la transmet dans les meilleurs délais à l’autorité de contrôle compétente. La personne concernée est informée de cette transmission.

3.   Les États membres prévoient que l’autorité de contrôle auprès de laquelle la réclamation a été introduite fournit une assistance supplémentaire à la demande de la personne concernée.

4.   La personne concernée est informée par l’autorité de contrôle compétente de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 53.

Article 53

Droit à un recours juridictionnel effectif contre une autorité de contrôle

1.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, les États membres prévoient qu’une personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu de l’article 45, paragraphe 1, ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 52.

3.   Les États membres disposent que les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.

Article 54

Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Les États membres prévoient que, sans préjudice de tout recours administratif ou extrajudiciaire qui leur est ouvert, notamment le droit d’introduire une réclamation auprès d’une autorité de contrôle en vertu de l’article 52, une personne concernée a droit à un recours juridictionnel effectif lorsqu’elle considère que ses droits prévus dans les dispositions adoptées en vertu de la présente directive ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation desdites dispositions.

Article 55

Représentation des personnes concernées

Les États membres prévoient, conformément à leur droit procédural, que la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel la concernant, pour qu’il introduise une réclamation en son nom et exerce en son nom les droits visés aux articles 52, 53 et 54.

Article 56

Droit à réparation

Les États membres prévoient que toute personne ayant subi un dommage matériel ou un préjudice moral du fait d’une opération de traitement illicite ou de toute action qui constitue une violation des dispositions nationales adoptées en vertu de la présente directive a le droit d’obtenir du responsable du traitement, ou de toute autre autorité compétente en vertu du droit d’un État membre, réparation du préjudice subi.

Article 57

Sanctions

Les États membres déterminent le régime des sanctions applicables en cas de violations des dispositions adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives.

CHAPITRE IX

Actes d’exécution

Article 58

Comité

1.   La Commission est assistée par le comité institué par l’article 93 du règlement (UE) 2016/679. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

3.   Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) no 182/2011 s’applique, en liaison avec son article 5.

CHAPITRE X

Dispositions finales

Article 59

Abrogation de la décision-cadre 2008/977/JAI

1.   La décision-cadre 2008/977/JAI est abrogée à compter du 6 mai 2018.

2.   Les références faites à la décision abrogée visée au paragraphe 1 s’entendent comme faites à la présente directive.

Article 60

Actes juridiques de l’Union déjà en vigueur

Les dispositions spécifiques relatives à la protection des données à caractère personnel figurant dans des actes juridiques de l’Union qui sont entrés en vigueur le 6 mai 2016 ou avant cette date dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, qui réglementent le traitement entre États membres et l’accès des autorités nationales désignées des États membres aux systèmes d’information créés en vertu des traités, dans le cadre de la présente directive, demeurent inchangées.

Article 61

Relation avec les accords internationaux conclus antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière

Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 6 mai 2016 et qui respectent le droit de l’Union tel qu’il est applicable avant cette date restent en vigueur jusqu’à leur modification, leur remplacement ou leur révocation.

Article 62

Rapports de la Commission

1.   Au plus tard le 6 mai 2022, et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l’évaluation et le réexamen de la présente directive. Ces rapports sont publiés.

2.   Dans le cadre de ces évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l’application et le fonctionnement du chapitre V sur le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, en accordant une attention particulière aux décisions adoptées en vertu de l’article 36, paragraphe 3, et de l’article 39.

3.   Aux fins des paragraphes 1 et 2, la Commission peut demander des informations aux États membres et aux autorités de contrôle.

4.   Lorsqu’elle procède aux évaluations et réexamens visés aux paragraphes 1 et 2, la Commission tient compte des positions et des conclusions du Parlement européen, du Conseil ainsi que d’autres organismes ou sources pertinents.

5.   La Commission présente, si nécessaire, des propositions législatives visant à modifier la présente directive, en particulier en tenant compte des évolutions en matière de technologie de l’information et de l’état d’avancement de la société de l’information.

6.   Au plus tard le 6 mai 2019, la Commission réexamine d’autres actes juridiques adoptés par l’Union qui réglementent le traitement par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1, y compris ceux qui sont visés à l’article 60, afin d’apprécier la nécessité de les mettre en conformité avec la présente directive et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le cadre de la présente directive.

Article 63

Transposition

1.   Les États membres adoptent et publient, au plus tard le 6 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils communiquent immédiatement à la Commission le texte de ces dispositions. Ils appliquent ces dispositions à partir du 6 mai 2018.

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

2.   Par dérogation au paragraphe 1, un État membre peut prévoir que, à titre exceptionnel, lorsque cela exige des efforts disproportionnés, les systèmes de traitement automatisé installés avant le 6 mai 2016 sont mis en conformité avec l’article 25, paragraphe 1, au plus tard le 6 mai 2023.

3.   Par dérogation aux paragraphes 1 et 2 du présent article, un État membre peut, dans des circonstances exceptionnelles, mettre un système donné de traitement automatisé visé au paragraphe 2 du présent article, en conformité avec l’article 25, paragraphe 1, dans un délai déterminé après le délai visé au paragraphe 2 du présent article, lorsque, à défaut de cela, de graves difficultés se poseraient pour le fonctionnement du système de traitement automatisé en question. L’État membre concerné notifie à la Commission les raisons de ces graves difficultés et les motifs justifiant le délai déterminé de mise en conformité du système donné de traitement automatisé avec l’article 25, paragraphe 1. Le délai déterminé n’est en aucun cas fixé au-delà du 6 mai 2026.

4.   Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu’ils adoptent dans le domaine régi par la présente directive.

Article 64

Entrée en vigueur

La présente directive entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Article 65

Destinataires

Les États membres sont destinataires de la présente directive.

Fait à Bruxelles, le 27 avril 2016.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

J.A. HENNIS-PLASSCHAERT


(1)  JO C 391 du 18.12.2012, p. 127.

(2)  Position du Parlement européen du 12 mars 2014 (non encore parue au Journal officiel) et position du Conseil en première lecture du 8 avril 2016 (non encore parue au Journal officiel). Position du Parlement européen du 14 avril 2016.

(3)  Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(4)  Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60).

(5)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (voir page 1 du présent Journal officiel).

(6)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(7)  Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(8)  Position commune 2005/69/JAI du Conseil du 24 janvier 2005 relative à l’échange de certaines données avec Interpol (JO L 27 du 29.1.2005, p. 61).

(9)  Décision 2007/533/JAI du Conseil du 12 juin 2007 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) (JO L 205 du 7.8.2007, p. 63).

(10)  Directive 77/249/CEE du Conseil du 22 mars 1977 tendant à faciliter l’exercice effectif de la libre prestation de services par les avocats (JO L 78 du 26.3.1977, p. 17).

(11)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(12)  Décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l’approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière (JO L 210 du 6.8.2008, p. 1).

(13)  Acte du Conseil du 29 mai 2000 établissant, conformément à l’article 34 du traité sur l’Union européenne, la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (JO C 197 du 12.7.2000, p. 1).

(14)  Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).

(15)  JO L 176 du 10.7.1999, p. 36.

(16)  JO L 53 du 27.2.2008, p. 52.

(17)  JO L 160 du 18.6.2011, p. 21.

(18)  JO C 192 du 30.6.2012, p. 7.


4.5.2016

FR

Journal officiel de l’Union européenne

L 119/132


DIRECTIVE (UE) 2016/681 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 27 avril 2016

relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 82, paragraphe 1, point d), et son article 87, paragraphe 2, point a),

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen (1),

après consultation du Comité des régions,

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1)

Le 6 novembre 2007, la Commission a adopté une proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives. Cependant, n’ayant pas encore été adoptée par le Conseil lors de l’entrée en vigueur du traité de Lisbonne le 1er décembre 2009, la proposition de la Commission est devenue obsolète.

(2)

«Le programme de Stockholm — Une Europe ouverte et sûre qui sert et protège les citoyens» (3) invite la Commission à présenter une proposition concernant l’utilisation des données PNR aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière.

(3)

Dans sa communication du 21 septembre 2010 relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers, la Commission a décrit un certain nombre d’éléments essentiels d’une politique de l’Union dans ce domaine.

(4)

La directive 2004/82/CE du Conseil (4) régit la transmission aux autorités nationales compétentes, par les transporteurs aériens, d’informations préalables relatives aux passagers (ci-après dénommées «données API»), en vue d’améliorer les contrôles aux frontières et de lutter contre l’immigration illégale.

(5)

Les objectifs de la présente directive sont, entre autres, d’assurer la sécurité, de protéger la vie et la sécurité des personnes, et de créer un cadre juridique pour la protection des données PNR en ce qui concerne leur traitement par les autorités compétentes.

(6)

L’utilisation effective des données PNR, par exemple la confrontation des données PNR à diverses bases de données de personnes ou d’objets recherchés, est nécessaire pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, et donc pour renforcer la sécurité intérieure, pour rassembler des preuves et, le cas échéant, pour trouver les complices de criminels et démanteler des réseaux criminels.

(7)

L’évaluation des données PNR permet d’identifier des personnes qui n’étaient pas soupçonnées de participation à des infractions terroristes ou à des formes graves de criminalité avant cette évaluation et qui devraient être soumises à un examen plus approfondi par les autorités compétentes. L’utilisation des données PNR permet de contrer la menace que représentent les infractions terroristes et les formes graves de criminalité sous un angle autre que par le traitement d’autres catégories de données à caractère personnel. Cependant, pour veiller à ce que le traitement de données PNR reste limité à ce qui est nécessaire, la création et l’application de critères d’évaluation devraient être limitées aux infractions terroristes et aux formes graves de criminalité pour lesquelles l’utilisation de tels critères est pertinente. Par ailleurs, les critères d’évaluation devraient être définis d’une manière qui réduise au minimum le nombre d’identifications erronées de personnes innocentes par le système.

(8)

Les transporteurs aériens recueillent et traitent déjà des données PNR de leurs passagers pour leur propre usage commercial. La présente directive ne devrait pas leur imposer l’obligation de recueillir ou de conserver des données supplémentaires des passagers et ne devrait pas non plus contraindre les passagers à communiquer des données en sus de celles qui sont déjà transmises aux transporteurs aériens.

(9)

Certains transporteurs aériens conservent les données API qu’ils recueillent en les regroupant avec les données PNR, alors que d’autres ne le font pas. L’utilisation combinée des données PNR et des données API présente une valeur ajoutée en ce qu’elle aide les États membres à vérifier l’identité d’une personne, renforçant ainsi la valeur du résultat en termes de prévention, de détection et de répression des infractions et réduisant au minimum le risque de soumettre des personnes innocentes à des vérifications et à des enquêtes. C’est pourquoi il est important de veiller à ce que, lorsque les transporteurs aériens recueillent des données API, ils les transfèrent, que les données API soient conservées ou non par des moyens techniques différents de ceux utilisés pour d’autres données PNR.

(10)

Aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière, il est essentiel que tous les États membres adoptent des dispositions obligeant les transporteurs aériens qui assurent des vols extra-UE à transférer les données PNR qu’ils recueillent, y compris les données API. Les États membres devraient également avoir la possibilité d’étendre cette obligation aux transporteurs aériens qui assurent des vols intra-UE. Ces dispositions devraient s’entendre sans préjudice de la directive 2004/82/CE.

(11)

Le traitement des données à caractère personnel devrait être proportionné aux objectifs de sécurité spécifiques poursuivis par la présente directive.

(12)

La définition des infractions terroristes appliquée dans le cadre de la présente directive devrait être la même que celle figurant dans la décision-cadre 2002/475/JAI du Conseil (5). La définition des formes graves de criminalité devrait englober les catégories d’infractions énumérées à l’annexe II de la présente directive.

(13)

Il convient que les données PNR soient transmises à une seule unité d’information passagers désignée (UIP) dans l’État membre concerné, de manière à garantir la clarté et à réduire les coûts supportés par les transporteurs aériens. L’UIP peut avoir plusieurs antennes dans un même État membre et les États membres peuvent également mettre en place conjointement une seule UIP. Les États membres devraient échanger leurs informations par l’intermédiaire de réseaux d’échange d’informations appropriés afin de faciliter le partage des informations et de garantir l’interopérabilité.

(14)

Les États membres devraient assumer les coûts liés à l’utilisation, à la conservation et à l’échange de données PNR.

(15)

Une liste des données PNR à transmettre à une UIP devrait être établie dans le but de refléter les exigences légitimes des pouvoirs publics en matière de prévention et de détection des infractions terroristes ou des formes graves de criminalité, ainsi que d’enquêtes et de poursuites en la matière, renforçant par là la sécurité intérieure de l’Union et la protection des droits fondamentaux, notamment le respect de la vie privée et la protection des données à caractère personnel. À cette fin, il convient d’appliquer des normes élevées conformément à la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (ci-après dénommée «convention no 108») et la convention de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH). Une telle liste ne devrait pas être fondée sur l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’une personne. Les données PNR ne devraient comporter que des informations relatives aux réservations et aux itinéraires de voyage des passagers qui permettent aux autorités compétentes d’identifier les passagers aériens représentant une menace pour la sécurité intérieure.

(16)

Actuellement, deux méthodes de transfert des données sont possibles: la méthode «pull», par laquelle les autorités compétentes de l’État membre qui requièrent les données PNR peuvent accéder au système de réservation du transporteur aérien et en extraire («pull») une copie des données PNR requises, et la méthode «push», par laquelle les transporteurs aériens transmettent («push») les données PNR requises à l’autorité requérante, ce qui permet aux transporteurs aériens de garder le contrôle sur les données transmises. La méthode «push» est réputée offrir un niveau plus élevé de protection des données et devrait être obligatoire pour tous les transporteurs aériens.

(17)

La Commission soutient les lignes directrices de l’organisation de l’aviation civile internationale (OACI) relatives aux données PNR. Ces lignes directrices devraient, par conséquent, servir de base pour l’adoption des formats de données reconnus pour les transferts des données PNR par les transporteurs aériens aux États membres. Afin d’assurer des conditions uniformes d’exécution des formats de données reconnus et des protocoles correspondants applicables au transfert des données provenant des transporteurs aériens, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (6).

(18)

Les États membres devraient prendre toutes les mesures nécessaires pour permettre aux transporteurs aériens de remplir leurs obligations au titre de la présente directive. Il y a lieu que les États membres prévoient des sanctions effectives, proportionnées et dissuasives, y compris des sanctions financières, à l’encontre des transporteurs aériens qui ne respectent pas leurs obligations en matière de transfert de données PNR.

(19)

Chaque État membre devrait être responsable de l’évaluation des menaces potentielles liées aux infractions terroristes et aux formes graves de criminalité.

(20)

En tenant pleinement compte du droit à la protection des données à caractère personnel et du droit à la non-discrimination, aucune décision qui produit des effets juridiques préjudiciables à une personne ou l’affecte de manière significative ne devrait être prise sur la seule base du traitement automatisé des données PNR. Par ailleurs, conformément aux articles 8 et 21 de la Charte, aucune décision de cette nature ne devrait introduire de discrimination fondée notamment sur le sexe, la race, la couleur, les origines ethniques ou sociales, les caractéristiques génétiques, la langue, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à une minorité nationale, la fortune, la naissance, un handicap, l’âge ou l’orientation sexuelle. La Commission devrait également prendre en compte ces principes lors du réexamen de l’application de la présente directive.

(21)

Le résultat du traitement des données PNR ne devrait en aucun cas être utilisé par les États membres comme motif pour se soustraire à leurs obligations internationales au titre de la convention du 28 juillet 1951 relative au statut des réfugiés, telle qu’amendée par le protocole du 31 janvier 1967, ni être invoqué pour refuser aux demandeurs d’asile des voies sûres et effectives d’entrée légales sur le territoire de l’Union afin d’y exercer leur droit à la protection internationale.

(22)

En tenant pleinement compte des principes mis en évidence par la récente jurisprudence pertinente de la Cour de justice de l’Union européenne, l’application de la présente directive devrait garantir le plein respect des droits fondamentaux et du droit au respect de la vie privée ainsi que du principe de proportionnalité. Elle devrait aussi véritablement remplir les objectifs de nécessité et de proportionnalité afin de répondre aux intérêts généraux reconnus par l’Union et à la nécessité de protéger les droits et libertés d’autrui dans la lutte contre les infractions terroristes et les formes graves de criminalité. L’application de la présente directive devrait être dûment justifiée et les garanties nécessaires devraient être mises en place afin d’assurer la légalité de tout stockage, de toute analyse, de tout transfert ou de toute utilisation des données PNR.

(23)

Les États membres devraient échanger entre eux et avec Europol les données PNR qu’ils reçoivent, lorsque cela est jugé nécessaire aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière. Les UIP devraient, le cas échéant, transmettre sans tarder le résultat du traitement des données PNR aux UIP des autres États membres en vue d’un complément d’enquête. Les dispositions de la présente directive devraient s’entendre sans préjudice d’autres instruments de l’Union relatifs à l’échange d’informations entre les services de police et d’autres services répressifs et les autorités judiciaires, y compris la décision 2009/371/JAI du Conseil (7) et la décision-cadre 2006/960/JAI du Conseil (8). Il convient que les échanges de données PNR soient régis par les règles relatives à la coopération policière et judiciaire et ne portent pas atteinte au niveau élevé de protection de la vie privée et des données à caractère personnel exigé par la Charte, la convention no 108 et la CEDH.

(24)

L’échange sécurisé d’informations relatives aux données PNR entre les États membres devrait être assuré par l’intermédiaire de tout canal de coopération existant entre les autorités compétentes des États membres, et en particulier avec Europol, par l’intermédiaire de son application de réseau d’échange sécurisé d’informations (SIENA).

(25)

Les données PNR ne devraient être conservées que pour la durée nécessaire et proportionnée aux objectifs de prévention et de détection des infractions terroristes et des formes graves de criminalité, ainsi que d’enquêtes et de poursuites en la matière. En raison de leur nature et de leurs utilisations, il est indispensable que les données PNR soient conservées pendant une période suffisamment longue pour permettre leur analyse et leur utilisation dans le cadre d’enquêtes. Pour éviter toute utilisation disproportionnée, il convient que, après le délai initial de conservation, les données PNR soient dépersonnalisées par le masquage d’éléments des données. Afin de garantir le niveau le plus élevé de protection de données, l’accès à l’intégralité des données PNR, qui permettent l’identification directe de la personne concernée, ne devrait être accordé que dans des conditions très strictes et limitées après ce délai initial.

(26)

Lorsque des données PNR spécifiques ont été transmises à une autorité compétente et servent dans le cadre d’enquêtes ou de poursuites pénales spécifiques, leur durée de conservation par cette autorité devrait être fixée par le droit national, indépendamment des périodes de conservation de données prévues par la présente directive.

(27)

Dans chaque État membre, le traitement de données PNR effectué par l’UIP et par les autorités compétentes devrait être soumis à une norme de protection des données à caractère personnel du droit national conforme à la décision-cadre 2008/977/JAI du Conseil (9) et aux exigences spécifiques de protection des données énoncées dans la présente directive. Les références à la décision-cadre 2008/977/JAI devraient s’entendre comme des références faites à la législation actuellement en vigueur ainsi qu’à la législation qui la remplacera.

(28)

Compte tenu du droit à la protection des données à caractère personnel, il convient que les droits des personnes concernées en ce qui concerne le traitement de leurs données PNR, tels que les droits d’accès, de rectification, d’effacement et de limitation, ainsi que le droit à réparation et le droit à un recours juridictionnel, soient conformes à la décision-cadre 2008/977/JAI et au niveau de protection élevé conféré par la Charte et la CEDH.

(29)

Eu égard au droit des passagers d’être informés du traitement des données à caractère personnel les concernant, les États membres devraient veiller à ce que les passagers reçoivent des informations précises, aisément accessibles et facilement compréhensibles, sur la collecte des données PNR, le transfert de celles-ci à l’UIP et leurs droits en tant que personnes concernées.

(30)

La présente directive s’applique sans préjudice du droit de l’Union et du droit national concernant le principe de l’accès du public aux documents officiels.

(31)

Les États membres ne devraient être autorisés à transférer des données PNR vers des pays tiers qu’au cas par cas et dans le plein respect des dispositions adoptées par les États membres en vertu de la décision-cadre 2008/977/JAI. Pour assurer la protection des données à caractère personnel, ces transferts devraient être soumis à des exigences supplémentaires relatives à leur finalité. Ils devraient également être soumis aux principes de nécessité et de proportionnalité et au niveau de protection élevé conféré par la Charte et la CEDH.

(32)

Les autorités de contrôle nationales mises en place en application de la décision-cadre 2008/977/JAI devraient également être chargées de fournir des conseils sur l’application des dispositions adoptées par les États membres en vertu de la présente directive et de surveiller l’application de celles-ci.

(33)

La présente directive est sans préjudice de la possibilité pour les États membres de prévoir, en vertu de leur droit national, un système de collecte et de traitement des données PNR auprès d’opérateurs économiques autres que les transporteurs, tels que des agences ou des organisateurs de voyages qui fournissent des services liés aux voyages, y compris la réservation de vols, pour lesquels ils recueillent et traitent les données PNR, ou de transporteurs autres que ceux que la présente directive mentionne, sous réserve que ce droit national respecte le droit de l’Union.

(34)

La présente directive est sans préjudice des règles actuelles de l’Union sur les modalités des contrôles aux frontières ou des règles de l’Union régissant l’entrée sur le territoire de l’Union et la sortie de celui-ci.

(35)

Comme les dispositions nationales relatives au traitement des données à caractère personnel, y compris des données PNR, divergent sur le plan juridique et technique, les transporteurs aériens doivent et devront faire face à des exigences différentes en ce qui concerne le type d’informations à transmettre et les conditions dans lesquelles ces informations doivent être communiquées aux autorités nationales compétentes. Ces divergences peuvent nuire à une coopération efficace entre ces autorités aux fins de la prévention et de la détection des infractions terroristes ou des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière. Il est dès lors nécessaire d’établir, au niveau de l’Union, un cadre juridique commun pour le transfert et le traitement des données PNR.

(36)

La présente directive respecte les droits fondamentaux et les principes énoncés dans la Charte, en particulier le droit à la protection des données à caractère personnel, le droit au respect de la vie privée et le droit à la non-discrimination consacrés par ses articles 8, 7 et 21; elle devrait dès lors être mise en œuvre en conséquence. La présente directive est compatible avec les principes de la protection des données et ses dispositions sont conformes à la décision-cadre 2008/977/JAI. En outre, afin de respecter le principe de proportionnalité, la présente directive prévoit, pour des points spécifiques, des règles de protection des données plus strictes que celles prévues dans la décision-cadre 2008/977/JAI.

(37)

Le champ d’application de la présente directive est aussi limité que possible dès lors que: il prévoit que la conservation des données PNR dans les UIP est autorisée pendant une période n’excédant pas cinq ans au terme de laquelle les données devraient être effacées; il prévoit que les données sont dépersonnalisées par le masquage d’éléments des données après une période initiale de six mois; et il interdit la collecte et l’utilisation des données sensibles. Pour garantir l’efficacité et un niveau élevé de protection des données, les États membres sont tenus de veiller à ce qu’une autorité de contrôle nationale indépendante et, notamment, un délégué à la protection des données soient chargés de fournir des conseils et de surveiller la manière dont les données PNR sont traitées. Tout traitement de données PNR devrait être consigné ou faire l’objet d’une trace documentaire à des fins de vérification de sa licéité et d’autocontrôle et pour garantir de manière adéquate l’intégrité des données et la sécurité du traitement. Les États membres devraient également veiller à ce que les passagers reçoivent des informations claires et précises sur la collecte des données PNR et sur leurs droits.

(38)

Étant donné que les objectifs de la présente directive — à savoir le transfert de données PNR par les transporteurs aériens et leur traitement aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière — ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(39)

Conformément à l’article 3 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, ces États membres ont notifié leur souhait de participer à l’adoption et à l’application de la présente directive.

(40)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption de la présente directive et n’est pas lié par celle-ci ni soumis à son application.

(41)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001 du Parlement européen et du Conseil (10) et a rendu son avis le 25 mars 2011,

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

CHAPITRE I

Dispositions générales

Article premier

Objet et champ d’application

1.   La présente directive prévoit:

a)

le transfert, par les transporteurs aériens, de données des dossiers des passagers (PNR) de vols extra-UE;

b)

le traitement des données visées au point a), notamment leur collecte, leur utilisation et leur conservation par les États membres et leur échange entre les États membres.

2.   Les données PNR recueillies conformément à la présente directive ne peuvent être traitées qu’à des fins de prévention et de détection des infractions terroristes et des formes graves de criminalité ainsi que d’enquêtes et de poursuites en la matière, comme prévu à l’article 6, paragraphe 2, points a), b) et c).

Article 2

Application de la présente directive aux vols intra-UE

1.   Si un État membre décide d’appliquer la présente directive aux vols intra-UE, il le notifie à la Commission par écrit. Un État membre peut adresser ou révoquer une telle notification à tout moment. La Commission publie cette notification et la révocation éventuelle de celle-ci au Journal officiel de l’Union européenne.

2.   Lorsqu’une notification visée au paragraphe 1 est adressée, toutes les dispositions de la présente directive s’appliquent aux vols intra-UE comme s’il s’agissait de vols extra-UE et aux données PNR des vols intra-UE comme s’il s’agissait de données PNR de vols extra-UE.

3.   Un État membre peut décider d’appliquer la présente directive uniquement à certains vols intra-UE. Lorsqu’il prend une telle décision, l’État membre sélectionne les vols qu’il juge nécessaires afin de poursuivre les objectifs de la présente directive. L’État membre peut décider à tout moment de modifier la sélection des vols intra-UE.

Article 3

Définitions

Aux fins de la présente directive, on entend par:

1)

«transporteur aérien», une entreprise de transport aérien possédant une licence d’exploitation en cours de validité ou l’équivalent lui permettant d’assurer le transport aérien de passagers;

2)

«vol extra-UE», tout vol, régulier ou non, effectué par un transporteur aérien en provenance d’un pays tiers et devant atterrir sur le territoire d’un État membre ou en provenance du territoire d’un État membre et devant atterrir dans un pays tiers, y compris, dans les deux cas, les vols comportant d’éventuelles escales sur le territoire d’États membres ou de pays tiers;

3)

«vol intra-UE», tout vol, régulier ou non, effectué par un transporteur aérien en provenance du territoire d’un État membre et devant atterrir sur le territoire d’un ou de plusieurs États membres, sans escale sur le territoire d’un pays tiers;

4)

«passager», toute personne, y compris une personne en correspondance ou en transit et à l’exception du personnel d’équipage, transportée ou devant être transportée par un aéronef avec le consentement du transporteur aérien, lequel se traduit par l’inscription de cette personne sur la liste des passagers;

5)

«dossier(s) passager(s)» ou «PNR», un dossier relatif aux conditions de voyage de chaque passager, qui contient les informations nécessaires pour permettre le traitement et le contrôle des réservations par les transporteurs aériens concernés qui assurent les réservations, pour chaque voyage réservé par une personne ou en son nom, que ce dossier figure dans des systèmes de réservation, des systèmes de contrôle des départs (utilisés pour contrôler les passagers lors de l’embarquement) ou des systèmes équivalents offrant les mêmes fonctionnalités;

6)

«système de réservation», le système interne du transporteur aérien, dans lequel les données PNR sont recueillies aux fins du traitement des réservations;

7)

«méthode push», la méthode par laquelle les transporteurs aériens transfèrent les données PNR énumérées à l’annexe I vers la base de données de l’autorité requérante;

8)

«infractions terroristes», les infractions prévues par le droit national visées aux articles 1er à 4 de la décision-cadre 2002/475/JAI;

9)

«formes graves de criminalité», les infractions énumérées à l’annexe II qui sont passibles d’une peine privative de liberté ou d’une mesure de sûreté d’une durée maximale d’au moins trois ans au titre du droit national d’un État membre;

10)

«dépersonnaliser par le masquage d’éléments des données», rendre invisibles pour un utilisateur les éléments des données qui pourraient servir à identifier directement la personne concernée.

CHAPITRE II

Responsabilités des états membres

Article 4

Unité d’informations passagers

1.   Chaque État membre met en place ou désigne une autorité compétente en matière de prévention et de détection des infractions terroristes et des formes graves de criminalité, ainsi que d’enquêtes et de poursuites en la matière, ou crée ou désigne une antenne d’une telle autorité, en tant que son UIP.

2.   L’UIP est chargée:

a)

de la collecte des données PNR auprès des transporteurs aériens, de la conservation et du traitement de ces données, et du transfert de ces données ou du résultat de leur traitement aux autorités compétentes visées à l’article 7;

b)

de l’échange à la fois des données PNR et du résultat de leur traitement avec les UIP d’autres États membres et avec Europol, conformément aux articles 9 et 10.

3.   Les membres du personnel de l’UIP peuvent être des agents détachés par les autorités compétentes. Les États membres dotent les UIP des ressources adéquates pour l’accomplissement de leurs missions.

4.   Deux États membres ou plus (ci-après dénommés «États membres participants») peuvent mettre en place ou désigner une autorité unique en tant qu’UIP. Cette UIP est établie dans l’un des États membres participants et est considérée comme l’UIP nationale de tous les États membres participants. Ces derniers conviennent conjointement des modalités de fonctionnement de l’UIP et respectent les exigences prévues dans la présente directive.

5.   Chaque État membre notifie à la Commission la mise en place de son UIP dans un délai d’un mois à compter de cette mise en place et peut, à tout moment, modifier sa notification. La Commission publie cette notification et toute modification y afférente au Journal officiel de l’Union européenne.

Article 5

Délégué à la protection des données au sein de l’UIP

1.   L’UIP nomme un délégué à la protection des données chargé de contrôler le traitement des données PNR et de mettre en œuvre les garanties pertinentes.

2.   Les États membres dotent les délégués à la protection des données des moyens pour accomplir leurs missions et obligations, conformément au présent article, de manière effective et en toute indépendance.

3.   Les États membres veillent à ce que la personne concernée ait le droit de s’adresser au délégué à la protection des données, en sa qualité de point de contact unique, pour toutes les questions relatives au traitement des données PNR la concernant.

Article 6

Traitement des données PNR

1.   Les données PNR transférées par les transporteurs aériens sont recueillies par l’UIP de l’État membre concerné comme prévu à l’article 8. Lorsque les données PNR transférées par les transporteurs aériens comportent des données autres que celles énumérées à l’annexe I, l’UIP efface ces données immédiatement et de façon définitive dès leur réception.

2.   L’UIP ne traite les données PNR qu’aux fins suivantes:

a)

réaliser une évaluation des passagers avant leur arrivée prévue dans l’État membre ou leur départ prévu de celui-ci, afin d’identifier les personnes pour lesquelles est requis un examen plus approfondi par les autorités compétentes visées à l’article 7 et, le cas échéant, par Europol conformément à l’article 10, compte tenu du fait que ces personnes peuvent être impliquées dans une infraction terroriste ou une forme grave de criminalité;

b)

répondre, au cas par cas, aux demandes dûment motivées fondées sur des motifs suffisants des autorités compétentes, visant à ce que des données PNR leur soient communiquées et à ce que celles-ci fassent l’objet d’un traitement dans des cas spécifiques, aux fins de la prévention et de la détection d’infractions terroristes ou de formes graves de criminalité, ainsi qu’aux fins d’enquêtes et de poursuites en la matière, et visant à communiquer aux autorités compétentes ou, le cas échéant, à Europol le résultat de ce traitement; et

c)

analyser les données PNR aux fins de mettre à jour ou de définir de nouveaux critères à utiliser pour les évaluations réalisées au titre du paragraphe 3, point b), en vue d’identifier toute personne pouvant être impliquée dans une infraction terroriste ou une forme grave de criminalité.

3.   Lorsqu’elle réalise l’évaluation visée au paragraphe 2, point a), l’UIP peut:

a)

confronter les données PNR aux bases de données utiles aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité ainsi que des enquêtes et des poursuites en la matière, y compris les bases de données concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement, conformément aux règles nationales, internationales et de l’Union applicables à de telles bases de données; ou

b)

traiter les données PNR au regard de critères préétablis.

4.   L’évaluation des passagers avant leur arrivée prévue dans l’État membre ou leur départ prévu de celui-ci effectuée au titre du paragraphe 3, point b), au regard de critères préétablis est réalisée de façon non discriminatoire. Ces critères préétablis doivent être ciblés, proportionnés et spécifiques. Les États membres veillent à ce que ces critères soient fixés et réexaminés à intervalles réguliers par les UIP en coopération avec les autorités compétentes visées à l’article 7. Lesdits critères ne sont en aucun cas fondés sur l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.

5.   Les États membres s’assurent que toute concordance positive obtenue à la suite du traitement automatisé des données PNR effectué au titre du paragraphe 2, point a), est réexaminée individuellement par des moyens non automatisés, afin de vérifier si l’autorité compétente visée à l’article 7 doit prendre des mesures en vertu du droit national.

6.   L’UIP d’un État membre transmet, en vue d’un examen plus approfondi, les données PNR des personnes identifiées conformément au paragraphe 2, point a), ou le résultat du traitement de ces données aux autorités compétentes visées à l’article 7 de ce même État membre. Ces transferts ne sont effectués qu’au cas par cas et, en cas de traitement automatisé des données PNR, après un réexamen individuel par des moyens non automatisés.

7.   Les États membres veillent à ce que le délégué à la protection des données ait accès à toutes les données traitées par l’UIP. Si le délégué à la protection des données estime que le traitement de certaines données n’était pas licite, le délégué à la protection des données peut renvoyer l’affaire à l’autorité de contrôle nationale.

8.   Le stockage, le traitement et l’analyse des données PNR par les UIP sont effectués exclusivement dans un ou des endroits sécurisés situés sur le territoire des États membres.

9.   Les conséquences des évaluations des passagers visées au paragraphe 2, point a), du présent article ne compromettent pas le droit d’entrée des personnes jouissant du droit de l’Union à la libre circulation sur le territoire de l’État membre concerné prévu dans la directive 2004/38/CE du Parlement européen et du Conseil (11). En outre, lorsque des évaluations sont réalisées pour des vols intra-UE entre des États membres auxquels s’applique le règlement (CE) no 562/2006 du Parlement européen et du Conseil (12), les conséquences de ces évaluations doivent respecter ledit règlement.

Article 7

Autorités compétentes

1.   Chaque État membre arrête une liste des autorités compétentes habilitées à demander aux UIP ou à recevoir de celles-ci des données PNR ou le résultat du traitement de telles données en vue de procéder à un examen plus approfondi de ces informations ou de prendre les mesures appropriées aux fins de la prévention et de la détection d’infractions terroristes ou de formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière.

2.   Les autorités visées au paragraphe 1 sont des autorités compétentes en matière de prévention ou de détection des infractions terroristes ou des formes graves de criminalité, ainsi que d’enquêtes ou de poursuites en la matière.

3.   Aux fins de l’article 9, paragraphe 3, chaque État membre notifie à la Commission la liste de ses autorités compétentes au plus tard 25 mai 2017 et peut modifier sa notification à tout moment. La Commission publie cette notification et toute modification y afférente au Journal officiel de l’Union européenne.

4.   Les données PNR et le résultat du traitement de ces données reçus par l’UIP ne peuvent faire l’objet d’un traitement ultérieur par les autorités compétentes des États membres qu’aux seules fins spécifiques de la prévention ou de la détection d’infractions terroristes ou de formes graves de criminalité, ainsi que des enquêtes ou des poursuites en la matière.

5.   Le paragraphe 4 s’applique sans préjudice des compétences des autorités répressives ou judiciaires nationales, lorsque d’autres infractions, ou des indices d’autres infractions, sont détectés dans le cadre d’actions répressives menées à la suite de ce traitement.

6.   Les autorités compétentes ne peuvent prendre aucune décision produisant des effets juridiques préjudiciables à une personne ou l’affectant de manière significative sur la seule base du traitement automatisé de données PNR. Ces décisions ne peuvent pas être fondées sur l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.

Article 8

Obligations imposées aux transporteurs aériens concernant les transferts de données

1.   Les États membres adoptent les mesures nécessaires pour veiller à ce que les transporteurs aériens transfèrent, par la «méthode push», les données PNR énumérées à l’annexe I, pour autant qu’ils aient déjà recueilli de telles données dans le cours normal de leurs activités, vers la base de données de l’UIP de l’État membre sur le territoire duquel le vol atterrira ou du territoire duquel il décollera. Lorsqu’il s’agit d’un vol en partage de code entre un ou plusieurs transporteurs aériens, l’obligation de transférer les données PNR de tous les passagers du vol incombe au transporteur aérien qui assure le vol. Lorsqu’un vol extra-UE comporte une ou plusieurs escales dans des aéroports des États membres, les transporteurs aériens transfèrent les données PNR de tous les passagers aux UIP de tous les États membres concernés. Il en est de même lorsqu’un vol intra-UE comporte une ou plusieurs escales dans les aéroports de différents États membres, mais uniquement en ce qui concerne les États membres qui recueillent les données PNR des vols intra-UE.

2.   Dans l’hypothèse où les transporteurs aériens ont recueilli des informations préalables sur les passagers (ci-après dénommées «données API») énumérées à l’annexe I, point 18, mais ne les conservent pas par les mêmes moyens techniques que ceux utilisés pour d’autres données PNR, les États membres adoptent les mesures nécessaires pour veiller à ce que les transporteurs aériens transfèrent également ces données, par la «méthode push», à l’UIP des États membres visés au paragraphe 1. Dans le cas d’un tel transfert, toutes les dispositions de la présente directive s’appliquent à ces données API.

3.   Les transporteurs aériens transfèrent les données PNR par voie électronique au moyen de protocoles communs et de formats de données reconnus à adopter en conformité avec la procédure d’examen visée à l’article 17, paragraphe 2, ou, en cas de défaillance technique, par tout autre moyen approprié garantissant un niveau de sécurité des données approprié:

a)

24 à 48 heures avant l’heure de départ programmée du vol; et

b)

immédiatement après la clôture du vol, c’est-à-dire dès que les passagers ont embarqué à bord de l’aéronef prêt à partir et qu’ils ne peuvent plus embarquer ou débarquer.

4.   Les États membres autorisent les transporteurs aériens à limiter le transfert visé au paragraphe 3, point b), aux mises à jour des transferts visés au point a) dudit paragraphe.

5.   Lorsque l’accès à des données PNR est nécessaire pour répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité, les transporteurs aériens transfèrent, au cas par cas, des données PNR à d’autres moments que ceux mentionnés au paragraphe 3, à la demande d’une UIP conformément au droit national.

Article 9

Échange d’informations entre États membres

1.   Les États membres veillent à ce que, en ce qui concerne les personnes identifiées par une UIP conformément à l’article 6, paragraphe 2, toutes les données PNR pertinentes et nécessaires ou le résultat du traitement de ces données soient transmis par ladite UIP aux UIP correspondantes des autres États membres. Les UIP des États membres destinataires transmettent les informations reçues à leurs autorités compétentes, conformément à l’article 6, paragraphe 6.

2.   L’UIP d’un État membre a le droit de demander, si nécessaire, à l’UIP de tout autre État membre de lui communiquer des données PNR qui sont conservées dans sa base de données et qui n’ont pas encore été dépersonnalisées par le masquage d’éléments des données au titre de l’article 12, paragraphe 2, ainsi que, si nécessaire, le résultat de tout traitement de ces données, si celui-ci a déjà été réalisé en vertu de l’article 6, paragraphe 2, point a). Cette demande est dûment motivée. Elle peut être fondée sur un quelconque élément de ces données ou sur une combinaison de tels éléments, selon ce que l’UIP requérante estime nécessaire dans un cas spécifique de prévention ou de détection d’infractions terroristes ou de formes graves de criminalité, ou d’enquêtes ou de poursuites en la matière. Les UIP transmettent dès que possible les informations demandées. Si les données demandées ont été dépersonnalisées par le masquage d’éléments des données conformément à l’article 12, paragraphe 2, l’UIP ne transmet l’intégralité des données PNR que lorsqu’il existe des motifs raisonnables de croire que cela est nécessaire aux fins visées à l’article 6, paragraphe 2, point b), et uniquement si elle y est autorisée par une autorité visée à l’article 12, paragraphe 3, point b).

3.   Les autorités compétentes d’un État membre ne peuvent demander directement à l’UIP d’un autre État membre de leur communiquer des données PNR qui sont conservées dans sa base de données que lorsque cela est nécessaire dans les cas d’urgence et dans les conditions fixées au paragraphe 2. Les demandes des autorités compétentes sont motivées. Une copie de la demande est toujours envoyée à l’UIP de l’État membre requérant. Dans tous les autres cas, les autorités compétentes canalisent leurs demandes par l’intermédiaire de l’UIP de leur propre État membre.

4.   À titre exceptionnel, lorsque l’accès à des données PNR est nécessaire pour répondre à une menace précise et réelle liée à des infractions terroristes ou à des formes graves de criminalité, l’UIP d’un État membre a le droit de demander à ce que l’UIP d’un autre État membre obtienne des données PNR conformément à l’article 8, paragraphe 5, et les communique à l’UIP requérante.

5.   L’échange d’informations au titre du présent article peut avoir lieu par l’intermédiaire de n’importe quel canal de coopération existant entre les autorités compétentes des États membres. La langue utilisée pour la demande et l’échange d’informations est celle applicable au canal utilisé. Lorsqu’ils procèdent aux notifications conformément à l’article 4, paragraphe 5, les États membres communiquent également à la Commission les coordonnées des points de contact auxquels les demandes peuvent être adressées en cas d’urgence. La Commission communique lesdites coordonnées aux États membres.

Article 10

Conditions d’accès aux données PNR par Europol

1.   Europol est habilité à demander aux UIP des États membres des données PNR ou le résultat du traitement de ces données dans les limites de ses compétences et pour l’accomplissement de ses missions.

2.   Europol peut présenter, au cas par cas, à l’UIP de tout État membre par l’intermédiaire de l’unité nationale Europol, une demande électronique dûment motivée de transmission de données PNR spécifiques ou du résultat du traitement de ces données. Europol peut présenter cette demande lorsque cela est strictement nécessaire au soutien et au renforcement de l’action des États membres en vue de prévenir ou de détecter une infraction terroriste spécifique ou une forme grave de criminalité spécifique, ou de mener des enquêtes en la matière, dans la mesure où ladite infraction ou ladite forme de criminalité relève de la compétence d’Europol en vertu de la décision 2009/371/JAI. Cette demande énonce les motifs raisonnables sur lesquels se fonde Europol pour estimer que la transmission des données PNR ou du résultat du traitement de ces données contribuera de manière substantielle à la prévention ou à la détection de l’infraction concernée, ou à des enquêtes en la matière.

3.   Europol informe le délégué à la protection des données nommé conformément à l’article 28 de la décision 2009/371/JAI de chaque échange d’informations au titre du présent article.

4.   Les échanges d’information au titre du présent article ont lieu par l’intermédiaire de SIENA et conformément à la décision 2009/371/JAI. La langue utilisée pour la demande et l’échange d’informations est celle applicable à SIENA.

Article 11

Transfert de données vers des pays tiers

1.   Un État membre peut transférer à un pays tiers des données PNR et le résultat du traitement de ces données, qui sont conservés par l’UIP conformément à l’article 12, uniquement au cas par cas et si:

a)

les conditions prévues à l’article 13 de la décision-cadre 2008/977/JAI sont remplies;

b)

le transfert est nécessaire aux fins de la présente directive visées à l’article 1er, paragraphe 2;

c)

le pays tiers n’accepte de transférer les données à un autre pays tiers que lorsque cela est strictement nécessaire aux fins de la présente directive visées à l’article 1er, paragraphe 2, et uniquement avec l’accord exprès dudit État membre; et

d)

les mêmes conditions que celles prévues à l’article 9, paragraphe 2, sont remplies.

2.   Nonobstant l’article 13, paragraphe 2, de la décision-cadre 2008/977/JAI, les transferts de données PNR sans l’accord préalable de l’État membre dont les données ont été obtenues, ne sont autorisés que dans des circonstances exceptionnelles et uniquement si:

a)

ces transferts sont essentiels pour répondre à une menace précise et réelle liée à une infraction terroriste ou à une forme grave de criminalité dans un État membre ou un pays tiers; et

b)

l’accord préalable ne peut pas être obtenu en temps utile.

L’autorité chargée de donner son accord est informée sans retard et le transfert est dûment enregistré et soumis à une vérification ex post.

3.   Les États membres ne transfèrent des données PNR aux autorités compétentes de pays tiers que dans des conditions compatibles avec la présente directive et après avoir obtenu l’assurance que l’utilisation que les destinataires entendent faire de ces données PNR respecte ces conditions et garanties.

4.   Chaque fois qu’un État membre transfère des données PNR en vertu du présent article, le délégué à la protection des données de l’UIP de cet État membre en est informé.

Article 12

Période de conservation et dépersonnalisation des données

1.   Les États membres veillent à ce que les données PNR fournies par les transporteurs aériens à l’UIP y soient conservées dans une base de données pendant une période de cinq ans suivant leur transfert à l’UIP de l’État membre sur le territoire duquel se situe le point d’arrivée ou de départ du vol.

2.   À l’expiration d’une période de six mois suivant le transfert des données PNR visé au paragraphe 1, toutes les données PNR sont dépersonnalisées par le masquage des éléments des données suivants qui pourraient servir à identifier directement le passager auquel se rapportent les données PNR:

a)

le(s) nom(s), y compris les noms d’autres passagers mentionnés dans le PNR, ainsi que le nombre de passagers voyageant ensemble figurant dans le PNR;

b)

l’adresse et les coordonnées;

c)

des informations sur tous les modes de paiement, y compris l’adresse de facturation, dans la mesure où y figurent des informations pouvant servir à identifier directement le passager auquel le PNR se rapporte ou toute autre personne;

d)

les informations «grands voyageurs»;

e)

les remarques générales, dans la mesure où elles comportent des informations qui pourraient servir à identifier directement le passager auquel le PNR se rapporte; et

f)

toute donnée API qui a été recueillie.

3.   À l’expiration de la période de six mois visée au paragraphe 2, la communication de l’intégralité des données PNR n’est autorisée que:

a)

lorsqu’il existe des motifs raisonnables de croire qu’elle est nécessaire aux fins visées à l’article 6, paragraphe 2, point b); et

b)

lorsqu’elle a été approuvée par:

i)

une autorité judiciaire; ou

ii)

une autre autorité nationale compétente en vertu du droit national pour vérifier si les conditions de communication sont remplies, sous réserve que le délégué à la protection des données de l’UIP en soit informé et procède à un examen ex post.

4.   Les États membres veillent à ce que les données PNR soient effacées de manière définitive à l’issue de la période visée au paragraphe 1. Cette obligation s’applique sans préjudice des cas où des données PNR spécifiques ont été transférées à une autorité compétente et sont utilisées dans le cadre de cas spécifiques à des fins de prévention, de détection d’infractions terroristes ou de formes graves de criminalité ou d’enquêtes ou de poursuites en la matière, auquel cas la conservation de ces données par l’autorité compétente est régie par le droit national.

5.   Le résultat du traitement visé à l’article 6, paragraphe 2, point a), n’est conservé par l’UIP que le temps nécessaire pour informer les autorités compétentes et, conformément à l’article 9, paragraphe 1, pour informer les UIP des autres États membres de l’existence d’une concordance positive. Lorsque, à la suite du réexamen individuel par des moyens non automatisés visé à l’article 6, paragraphe 5, le résultat du traitement automatisé s’est révélé négatif, il peut néanmoins être archivé tant que les données de base n’ont pas été effacées au titre du paragraphe 4 du présent article, de manière à éviter de futures «fausses» concordances positives.

Article 13

Protection des données à caractère personnel

1.   Chaque État membre veille à ce que, pour tout traitement de données à caractère personnel effectué au titre de la présente directive, chaque passager dispose du même droit à la protection de ses données à caractère personnel, des mêmes droits d’accès, de rectification, d’effacement et de limitation, et droits à réparation et à un recours juridictionnel prévus dans le droit de l’Union et le droit national et en application des articles 17, 18, 19 et 20 de la décision-cadre 2008/977/JAI. Lesdits articles sont par conséquent applicables.

2.   Chaque État membre veille à ce que les dispositions adoptées en droit national en application des articles 21 et 22 de la décision-cadre 2008/977/JAI concernant la confidentialité du traitement et la sécurité des données s’appliquent également à tous les traitements de données à caractère personnel effectués en vertu de la présente directive.

3.   La présente directive est sans préjudice de l’applicabilité de la directive 95/46/CE du Parlement européen et du Conseil (13) au traitement des données à caractère personnel par les transporteurs aériens, en particulier en ce qui concerne leurs obligations de prendre des mesures techniques et organisationnelles appropriées pour protéger la sécurité et la confidentialité des données à caractère personnel.

4.   Les États membres interdisent le traitement des données PNR qui révèlent l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle. Dans l’hypothèse où l’UIP reçoit des données PNR révélant de telles informations, elle les efface immédiatement.

5.   Les États membres veillent à ce que l’UIP conserve une trace documentaire relative à tous les systèmes et procédures de traitement sous leur responsabilité. Cette documentation comprend au minimum:

a)

le nom et les coordonnées de l’organisation et du personnel chargés du traitement des données PNR au sein de l’UIP et les différents niveaux d’autorisation d’accès;

b)

les demandes formulées par les autorités compétentes et les UIP d’autres États membres;

c)

toutes les demandes et tous les transferts de données PNR vers un pays tiers.

L’UIP met toute la documentation à la disposition de l’autorité de contrôle nationale, à la demande de celle-ci.

6.   Les États membres veillent à ce que l’UIP tienne des registres au moins pour les opérations de traitement suivantes: la collecte, la consultation, la communication et l’effacement. Les registres des opérations de consultation et de communication indiquent, en particulier, la finalité, la date et l’heure de ces opérations et, dans la mesure du possible, l’identité de la personne qui a consulté ou communiqué les données PNR, ainsi que l’identité des destinataires de ces données. Les registres sont utilisés uniquement à des fins de vérification et d’autocontrôle, de garantie de l’intégrité et de la sécurité des données ou d’audit. L’UIP met les registres à la disposition de l’autorité de contrôle nationale, à la demande de celle-ci.

Ces registres sont conservés pendant cinq ans.

7.   Les États membres veillent à ce que leur UIP mette en œuvre des mesures et des procédures techniques et organisationnelles appropriées afin de garantir un niveau élevé de sécurité adapté aux risques présentés par le traitement et à la nature des données PNR.

8.   Lorsqu’une atteinte aux données à caractère personnel est susceptible d’entraîner un risque élevé pour la protection des données à caractère personnel ou d’affecter négativement la vie privée de la personne concernée, les États membres veillent à ce que l’UIP fasse part de cette atteinte à la personne concernée et à l’autorité de contrôle nationale sans retard injustifié.

Article 14

Sanctions

Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions.

En particulier, les États membres déterminent le régime des sanctions, y compris des sanctions financières, à l’encontre des transporteurs aériens qui ne transmettent pas de données comme le prévoit l’article 8, ou ne les transmettent pas dans le format requis.

Les sanctions prévues doivent être effectives, proportionnées et dissuasives.

Article 15

Autorité de contrôle nationale

1.   Chaque État membre prévoit que l’autorité de contrôle nationale visée à l’article 25 de la décision-cadre 2008/977/JAI est chargée de fournir des conseils sur l’application, sur son territoire, des dispositions adoptées par les États membres en vertu de la présente directive et de surveiller l’application de celles-ci. L’article 25 de ladite décision-cadre s’applique.

2.   Ces autorités de contrôle nationales exercent les activités au titre du paragraphe 1 en ayant en vue la protection des droits fondamentaux en matière de traitement des données à caractère personnel.

3.   Chaque autorité de contrôle nationale:

a)

traite les réclamations introduites par toute personne concernée, enquête sur l’affaire et informe la personne concernée de l’état d’avancement du dossier et de l’issue de la réclamation dans un délai raisonnable;

b)

vérifie la licéité du traitement des données, effectue des enquêtes, des inspections et des audits conformément au droit national, de sa propre initiative ou en se fondant sur une réclamation visée au point a).

4.   Chaque autorité de contrôle nationale conseille, sur demande, toute personne concernée quant à l’exercice des droits que lui confèrent les dispositions adoptées en vertu de la présente directive.

CHAPITRE III

Mesures d’exécution

Article 16

Protocoles communs et formats de données reconnus

1.   Tous les transferts de données PNR effectués par des transporteurs aériens vers les UIP aux fins de la présente directive sont effectués par des moyens électroniques qui offrent des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et les mesures organisationnelles régissant le traitement à effectuer. En cas de défaillance technique, les données PNR peuvent être transférées par tout autre moyen approprié, pour autant que le même niveau de sécurité soit maintenu et que le droit de l’Union en matière de protection des données soit pleinement respecté.

2.   À partir de l’année qui suit la date à laquelle la Commission adopte pour la première fois des protocoles communs et des formats de données reconnus conformément au paragraphe 3, tous les transferts de données PNR effectués par des transporteurs aériens vers les UIP aux fins de la présente directive se font par voie électronique à l’aide de méthodes sécurisées respectant ces protocoles communs. Ces protocoles sont identiques pour tous les transferts afin d’assurer la sécurité des données PNR pendant le transfert. Les données PNR sont transférées sous un format de données reconnu afin d’en assurer la lisibilité par toutes les parties concernées. Tous les transporteurs aériens sont tenus de choisir et de préciser à l’UIP le protocole commun et le format de données qu’ils ont l’intention d’utiliser pour leurs transferts.

3.   La Commission dresse la liste des protocoles communs et des formats de données reconnus et, si nécessaire, l’adapte au moyen d’actes d’exécution. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 17, paragraphe 2.

4.   Tant que les protocoles communs et les formats de données reconnus visés aux paragraphes 2 et 3 ne sont pas disponibles, le paragraphe 1 s’applique.

5.   Dans un délai d’un an à compter de la date d’adoption des protocoles communs et des formats de données reconnus visés au paragraphe 2, chaque État membre veille à ce que les mesures techniques nécessaires soient adoptées pour pouvoir utiliser ces protocoles communs et formats de données.

Article 17

Comité

1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

Lorsque le comité n’émet aucun avis, la Commission n’adopte pas le projet d’acte d’exécution, et l’article 5, paragraphe 4, troisième alinéa, du règlement (UE) no 182/2011 s’applique.

CHAPITRE IV

Dispositions finales

Article 18

Transposition

1.   Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le 25 mai 2018. Ils en informent immédiatement la Commission.

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

2.   Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu’ils adoptent dans le domaine régi par la présente directive.

Article 19

Réexamen

1.   Sur la base des informations communiquées par les États membres, y compris les informations statistiques visées à l’article 20, paragraphe 2, la Commission procède, au plus tard le 25 mai 2020, au réexamen de tous les éléments de la présente directive et communique et présente un rapport au Parlement européen et au Conseil.

2.   Dans le cadre de son réexamen, la Commission accorde une attention particulière:

a)

au respect des normes applicables de protection des données à caractère personnel;

b)

à la nécessité et à la proportionnalité de la collecte et du traitement des données PNR au regard de chacune des finalités énoncées dans la présente directive;

c)

à la durée de la période de conservation des données;

d)

à l’efficacité de l’échange d’informations entre les États membres; et

e)

à la qualité des évaluations, y compris en ce qui concerne les informations statistiques recueillies en vertu de l’article 20.

3.   Le rapport visé au paragraphe 1 examine également s’il est nécessaire, proportionné et efficace d’inclure dans le champ d’application de la présente directive la collecte et le transfert des données PNR, à titre obligatoire, pour l’ensemble des vols intra-UE ou une sélection de ceux-ci. La Commission tient compte de l’expérience acquise par les États membres, en particulier ceux qui appliquent la présente directive aux vols intra-UE conformément à l’article 2. Le rapport examine également s’il est nécessaire d’inclure des opérateurs économiques autres que les transporteurs, tels que des agences et des organisateurs de voyages qui fournissent des services liés aux voyages, y compris la réservation de vols, dans le champ d’application de la présente directive.

4.   Le cas échéant, au vu du réexamen effectué au titre du présent article, la Commission soumet une proposition législative au Parlement européen et au Conseil en vue de modifier la présente directive.

Article 20

Données statistiques

1.   Les États membres fournissent chaque année à la Commission une série de statistiques sur les données PNR communiquées aux UIP. Ces statistiques ne contiennent pas de données à caractère personnel.

2.   Les statistiques concernent au moins:

a)

le nombre total de passagers dont les données PNR ont été recueillies et échangées;

b)

le nombre de passagers identifiés en vue d’un examen plus approfondi.

Article 21

Rapports avec d’autres instruments

1.   Les États membres peuvent continuer d’appliquer les accords ou arrangements bilatéraux ou multilatéraux en matière d’échange d’informations entre les autorités compétentes qu’ils ont conclus entre eux et qui sont en vigueur au 24 mai 2016, dans la mesure où ceux-ci sont compatibles avec la présente directive.

2.   La présente directive s’applique sans préjudice de l’applicabilité de la directive 95/46/CE au traitement des données à caractère personnel par les transporteurs aériens.

3.   La présente directive s’applique sans préjudice des obligations et engagements d’États membres ou de l’Union qui découlent d’accords bilatéraux ou multilatéraux avec des pays tiers.

Article 22

Entrée en vigueur

La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Les États membres sont destinataires de la présente directive conformément aux traités.

Fait à Bruxelles, le 27 avril 2016.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

J.A. HENNIS-PLASSCHAERT


(1)  JO C 218 du 23.7.2011, p. 107.

(2)  Position du Parlement européen du 14 avril 2016 (non encore parue au Journal officiel) et décision du Conseil du 21 avril 2016.

(3)  JO C 115 du 4.5.2010, p. 1.

(4)  Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l’obligation pour les transporteurs de communiquer les données relatives aux passagers (JO L 261 du 6.8.2004, p. 24).

(5)  Décision-cadre 2002/475/JAI du Conseil du 13 juin 2002 relative à la lutte contre le terrorisme (JO L 164 du 22.6.2002, p. 3).

(6)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(7)  Décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l’Office européen de police (Europol) (JO L 121 du 15.5.2009, p. 37).

(8)  Décision-cadre 2006/960/JAI du Conseil du 18 décembre 2006 relative à la simplification de l’échange d’informations et de renseignements entre les services répressifs des États membres de l’Union européenne (JO L 386 du 29.12.2006, p. 89).

(9)  Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60).

(10)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(11)  Directive 2004/38/CE du Parlement européen et du Conseil du 29 avril 2004 relative au droit des citoyens de l’Union et des membres de leurs familles de circuler et de séjourner librement sur le territoire des États membres, modifiant le règlement (CEE) no 1612/68 et abrogeant les directives 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE et 93/96/CEE (JO L 158 du 30.4.2004, p. 77).

(12)  Règlement (CE) no 562/2006 du Parlement européen et du Conseil du 15 mars 2006 établissant un code communautaire relatif au régime de franchissement des frontières par les personnes (code frontières Schengen) (JO L 105 du 13.4.2006, p. 1).

(13)  Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).


ANNEXE I

Données des dossiers passagers telles qu’elles sont recueillies par les transporteurs aériens

1.

Code repère du dossier passager

2.

Date de réservation/d’émission du billet

3.

Date(s) prévue(s) du voyage

4.

Nom(s)

5.

Adresse et coordonnées (numéro de téléphone, adresse électronique)

6.

Toutes les informations relatives aux modes de paiement, y compris l’adresse de facturation

7.

Itinéraire complet pour le PNR concerné

8.

Informations «grands voyageurs»

9.

Agence de voyages/agent de voyages

10.

Statut du voyageur, y compris les confirmations, l’enregistrement, la non-présentation ou un passager de dernière minute sans réservation

11.

Indications concernant la scission/division du PNR

12.

Remarques générales (notamment toutes les informations disponibles sur les mineurs non accompagnés de moins de 18 ans, telles que le nom et le sexe du mineur, son âge, la ou les langues parlées, le nom et les coordonnées du tuteur présent au départ et son lien avec le mineur, le nom et les coordonnées du tuteur présent à l’arrivée et son lien avec le mineur, l’agent présent au départ et à l’arrivée)

13.

Informations sur l’établissement des billets, y compris le numéro du billet, la date d’émission, les allers simples, les champs de billets informatisés relatifs à leur prix

14.

Numéro du siège et autres informations concernant le siège

15.

Informations sur le partage de code

16.

Toutes les informations relatives aux bagages

17.

Nombre et autres noms de voyageurs figurant dans le PNR

18.

Toute information préalable sur les passagers (données API) qui a été recueillie (y compris le type, le numéro, le pays de délivrance et la date d’expiration de tout document d’identité, la nationalité, le nom de famille, le prénom, le sexe, la date de naissance, la compagnie aérienne, le numéro de vol, la date de départ, la date d’arrivée, l’aéroport de départ, l’aéroport d’arrivée, l’heure de départ et l’heure d’arrivée)

19.

Historique complet des modifications des données PNR énumérées aux points 1 à 18.


ANNEXE II

Liste des infractions visées à l’article 3, point 9)

1.

Participation à une organisation criminelle

2.

Traite des êtres humains

3.

Exploitation sexuelle des enfants et pédopornographie

4.

Trafic de stupéfiants et de substances psychotropes

5.

Trafic d’armes, de munitions et d’explosifs

6.

Corruption

7.

Fraude, y compris la fraude portant atteinte aux intérêts financiers de l’Union

8.

Blanchiment du produit du crime et faux monnayage, y compris la contrefaçon de l’euro

9.

Cybercriminalité

10.

Infractions graves contre l’environnement, y compris le trafic d’espèces animales menacées et le trafic d’espèces et d’essences végétales menacées

11.

Aide à l’entrée et au séjour irréguliers

12.

Meurtre, coups et blessures graves

13.

Trafic d’organes et de tissus humains

14.

Enlèvement, séquestration et prise d’otage

15.

Vol organisé ou vol à main armée

16.

Trafic de biens culturels, y compris d’antiquités et d’œuvres d’art

17.

Contrefaçon et piratage de produits

18.

Falsification de documents administratifs et trafic de faux

19.

Trafic de substances hormonales et d’autres facteurs de croissance

20.

Trafic de matières nucléaires et radioactives

21.

Viol

22.

Infractions graves relevant de la Cour pénale internationale

23.

Détournement d’avion/de navire

24.

Sabotage

25.

Trafic de véhicules volés

26.

Espionnage industriel.