www.cnil.fr
Open in
urlscan Pro
2606:4700:10::6816:11d5
Public Scan
Submitted URL: https://email.mg.rgpd.ladn.eu/c/eJw0zktu6yAUgOHVmFnQ4WXMgEGubr0N6xQOCRIPi5B6-1UrdfL_0y96g6iRkRdWKbWCkyt7em1TSLBhskoHQtxQJ5SfGE...
Effective URL: https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Submission: On December 05 via manual from TN — Scanned from US
Effective URL: https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Submission: On December 05 via manual from TN — Scanned from US
Form analysis 1 forms found in the DOM
POST /fr/reglement-europeen-protection-donnees
<form action="/fr/reglement-europeen-protection-donnees" method="post" id="cnil-search-form" accept-charset="UTF-8">
<div class="form-item js-form-item form-type-textfield js-form-type-textfield form-item-keyword js-form-item-keyword form-group">
<label for="edit-keyword" class="control-label">Poser une question ou rechercher un article, une délibération... </label>
<input data-drupal-selector="edit-keyword" class="form-text form-control" type="text" id="edit-keyword" name="keyword" value="" size="60" maxlength="128">
</div>
<button data-drupal-selector="edit-submit" class="button js-form-submit form-submit btn-default btn" type="submit" id="edit-submit" name="op" value="Rechercher">Rechercher</button><input
data-drupal-selector="form-mtvtsqifrrphmjm9-1cuikrbrz4blvekqcaecimhsqw" type="hidden" name="form_build_id" value="form-mTVtSQIfrrPhmjm9-1CUiKrBRz4BlvekqCAeCIMHsqw"><input data-drupal-selector="edit-cnil-search-form" type="hidden" name="form_id"
value="cnil_search_form">
</form>Text Content
Aller au contenu principal
ParticuliersProfessionnelsPresse
* Ma conformité au RGPD
* Comprendre le RGPD
* Qu'est-ce que le RGPD ?
* Les six grands principes du RGPD
* MOOC - L'atelier RGPD
* L'accompagnement de la CNIL
* Les journées RGPD
* Les webinaires de la CNIL
* Le contrôle de la CNIL
* Me mettre en conformité
* Par où commencer ?
* Créer un registre des traitements
* Choisir une base légale
* Choisir une durée de conservation
* Mettre en place un délégué (DPO)
* Travailler avec un sous-traitant
* Anonymiser les données
* Sécuriser les données
* Transférer des données hors UE
* La transmission de données aux tiers autorisés
* Respecter les droits des personnes
* Quelles sont les règles ?
* Les droits des personnes sur leurs données
* Informer les personnes
* Exemples de mentions d'information
* Répondre aux demandes d'exercice des droits
* Outils spécifiques
* L'analyse d'impact (AIPD)
* Les cadres de référence
* Les règles d'entreprise contraignantes (BCR)
* Le code de conduite
* La certification
* Services en ligne
* Poser une question à la CNIL
* Désigner un délégué (DPO)
* Notifier une violation de données
* Déclarer un fichier
* Soumettre une analyse d'impact (AIPD)
* Soumettre un projet de BCR
* Soumettre un code de conduite
* Soumettre une demande d'agrément
* Soumettre un mécanisme de certification
* Questions-réponses
* Fermer
* Ressources
* Acteurs et secteurs
* Les cadres de référence
* Affaires publiques
* Associations
* Assurances
* Banque
* Collectivités locales
* Éducation
* Logement
* Partis politiques
* Santé
* Services publics
* Social
* Sport amateur et professionnel
* Startup
* TPE et PME
* Transports et mobilité
* Thématiques communes
* Travail
* Économie de la donnée
* Commerce et publicité
* Cookies et autres traceurs
* Développement informatique
* Ouverture des données (open data)
* Smartphones et applications
* Vidéosurveillance - Vidéoprotection
* Enjeux numériques
* Biométrie
* Droits des mineurs
* Intelligence artificielle (IA)
* Chaîne de blocs
* Objets connectés
* Civic tech
* Cybersécurité
* Informatique en nuage - Cloud
* Sécurité des données
* Mots de passe
* Cryptologie et chiffrement
* Rançongiciels
* Violations de données
* Consultations
* Médiathèque
* Fermer
* Textes officiels
* Cadre européen
* Le règlement général sur la protection des données (RGPD)
* La directive Police-Justice
* La directive ePrivacy
* Les lignes directrices du CEPD
* Cadre national
* La loi Informatique et Libertés
* Le décret d'application de la loi
* Les sanctions pénales
* Le règlement intérieur de la CNIL
* Les délégations de signature
* La charte de déontologie
* Décisions de la CNIL
* Toutes les délibérations de la CNIL
* Les Tables Informatique et Libertés
* Les lignes directrices et recommandations de la CNIL
* Les sanctions
*
Les décisions de la CNIL sur Légifrance
* Fermer
* La CNIL
* Missions
* Informer et protéger
* Accompagner la conformité et conseiller
* Anticiper et innover
* Contrôler et sanctionner
* La mission éthique de la CNIL
* Les évènements
* Fonctionnement
* Ordres du jour des séances
* Statut et organisation
* Agenda
* Avis de la CNIL
* Interrégulation et partenariats
* En Europe et dans le monde
* Les actions de la CNIL en Europe et dans le monde
* La protection des données dans le monde
* Le Comité européen de la protection des données (CEPD)
* Les instances internationales
* La coopération Police-Justice
*
L'histoire de la CNIL en vidéo
* Marchés publics
* Open CNIL
* Travailler à la CNIL
* Fermer
*
FrEnGestionnaire de cookies
CNIL: SEARCH FORM
Poser une question ou rechercher un article, une délibération...
Rechercher
1. Accueil
2. Le règlement général sur la protection des données - RGPD
LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES - RGPD
24 mai 2016
--------------------------------------------------------------------------------
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016,
relatif à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, et
abrogeant la directive 95/46/CE (règlement général sur la protection des
données).
* Print the article
* Courriel
* Decrease the size of the font
* Increase the size of the font
--------------------------------------------------------------------------------
Modifié par
Rectificatif au règlement (UE) 2016/679 du Parlement européen et du Conseil du
27 avril 2016 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE (règlement général sur la protection
des données) JOUE L127 2 du 23/05/2018
--------------------------------------------------------------------------------
SOMMAIRE
CHAPITRE I - Dispositions générales
Article premier - Objet et objectifs
Article 2 - Champ d'application matériel
Article 3 - Champ d'application territorial
Article 4 - Définitions
CHAPITRE II - Principes
Article 5 - Principes relatifs au traitement des données à caractère personnel
Article 6- Licéité du traitement
Article 7 - Conditions applicables au consentement
Article 8 - Conditions applicables au consentement des enfants en ce qui
concerne les services de la société de l'information
Article 9 - Traitement portant sur des catégories particulières de données à
caractère personnel
Article 10 - Traitement des données à caractère personnel relatives aux
condamnations pénales et aux infractions
Article 11 - Traitement ne nécessitant pas l'identification
CHAPITRE III - Droits de la personne concernée
Section 1 - Transparence et modalités
Article 12 - Transparence des informations et des communications et modalités de
l'exercice des droits de la personne concernée
Section 2 - Information et accès aux données à caractère personnel
Article 13 - Informations à fournir lorsque des données à caractère personnel
sont collectées auprès de la personne concernée
Article 14 - Informations à fournir lorsque les données à caractère personnel
n'ont pas été collectées auprès de la personne concernée
Article 15 - Droit d'accès de la personne concernée
Section 3 - Rectification et effacement
Article 16 - Droit de rectification
DROIT DE RECTIFICATION
Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou
effacer des informations la concernant lorsqu’ont été décelées des erreurs, des
inexactitudes ou la présence de données dont la collecte, l’utilisation, la
communication ou la...> En savoir plus
Article 17 - Droit à l'effacement («droit à l'oubli»)
Article 18 - Droit à la limitation du traitement
Article 19 - Obligation de notification en ce qui concerne la rectification ou
l'effacement de données à caractère personnel ou la limitation du traitement
Article 20 - Droit à la portabilité des données
Section 4 - Droit d'opposition et prise de décision individuelle automatisée
Article 21 - Droit d'opposition
Article 22 - Décision individuelle automatisée, y compris le profilage
Section 5 - Limitations
Article 23 - Limitations
CHAPITRE IV - Responsable du traitement et sous-traitant
Section 1 - Obligations générales
Article 24 - Responsabilité du responsable du traitement
Article 25 - Protection des données dès la conception et protection des données
par défaut
Article 26 - Responsables conjoints du traitement
Article 27 - Représentants des responsables du traitement ou des sous-traitants
qui ne sont pas établis dans l'Union.
Article 28 - Sous-traitant
SOUS\-TRAITANT
Le sous-traitant est la personne physique ou morale (entreprise ou organisme
public) qui traite des données pour le compte d’un autre organisme (« le
responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Les sous-...> En savoir plus
Article 29 - Traitement effectué sous l'autorité du responsable du traitement ou
du sous-traitant
Article 30 - Registre des activités de traitement
REGISTRE DES ACTIVITÉS DE TRAITEMENT
Le registre des activités de traitement permet de recenser vos traitements de
données et de disposer d’une vue d’ensemble de ce que le responsable de
traitement fait avec les données personnelles. Il permet notamment d’identifier
: les parties ...> En savoir plus
Article 31 - Coopération avec l'autorité de contrôle
Section 2 - Sécurité des données à caractère personnel
Article 32 - Sécurité du traitement
Article 33 - Notification à l'autorité de contrôle d'une violation de données
VIOLATION DE DONNÉES
Une violation de la sécurité se caractérise par la destruction, la perte,
l'altération, la divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé
à de telles données,...> En savoir plus
à caractère personnel
Article 34 - Communication à la personne concernée d'une violation de données à
caractère personnel
Section 3 - Analyse d'impact relative à la protection des donnés et consultation
préalable
Article 35 - Analyse d'impact relative à la protection des données
Article 36 - Consultation préalable
Section 4 - Délégué à la protection des données
Article 37 - Désignation du délégué à la protection des données
Article 38 - Fonction du délégué à la protection des données
Article 39 - Missions du délégué à la protection des données
Section 5 - Codes de conduite et certification
Article 40 - Codes de conduite
Article 41 - Suivi des codes de conduite approuvés
Article 42 - Certification
Article 43 - Organismes de certification
CHAPITRE V - Transferts de données à caractère personnel vers des pays tiers ou
à des organisations internationales
Article 44 - Principe général applicable aux transferts
Article 45 - Transferts fondés sur une décision d'adéquation
Article 46 - Transferts moyennant des garanties appropriées
Article 47 - Règles d'entreprise contraignantes
Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union
Article 49 - Dérogations pour des situations particulières
Article 50 - Coopération internationale dans le domaine de la protection des
données à caractère personnel
CHAPITRE VI - Autorités de contrôle indépendantes
Section 1 - Statut d'indépendance
Article 51 - Autorité de contrôle
Article 52 - Indépendance
Article 53 - Conditions générales applicables aux membres de l'autorité de
contrôle
Article 54 - Règles relatives à l'établissement de l'autorité de contrôle
Section 2 - Compétence, missions et pouvoirs
Article 55 - Compétence
Article 56 - Compétence de l'autorité de contrôle chef de file
Article 57 - Missions
Article 58 - Pouvoirs
Article 59 - Rapports d'activité
CHAPITRE VII - Coopération et cohérence
Section 1 - Coopération
Article 60 - Coopération entre l'autorité de contrôle chef de file et les autres
autorités de contrôle concernées
Article 61 - Assistance mutuelle
Article 62 - Opérations conjointes des autorités de contrôle
Section 2 - Cohérence
Article 63 - Mécanisme de contrôle de la cohérence
Article 64 - Avis du comité
Article 65 - Règlement des litiges par le comité
Article 66 - Procédure d'urgence
Article 67 - Échange d'informations
Section 3 - Comité européen de la protection des données
Article 68 - Comité européen de la protection des données
Article 69 - Indépendance
Article 70 - Missions du comité
Article 71 - Rapports
Article 72 - Procédure
Article 73 - Président
Article 74 - Missions du président
Article 75 - Secrétariat
Article 76 - Confidentialité
CHAPITRE VIII - Voies de recours, responsabilité et sanctions
Article 77 - Droit d'introduire une réclamation auprès d'une autorité de
contrôle
Article 78 - Droit à un recours juridictionnel effectif contre une autorité de
contrôle
Article 79 - Droit à un recours juridictionnel effectif contre un responsable du
traitement ou un sous-traitant
Article 80 - Représentation des personnes concernées
Article 81 - Suspension d'une action
Article 82 - Droit à réparation et responsabilité
Article 83 - Conditions générales pour imposer des amendes administratives
Article 84 - Sanctions
CHAPITRE IX - Dispositions relatives à des situations particulières de
traitement
Article 85 - Traitement et liberté d'expression et d'information
Article 86 - Traitement et accès du public aux documents officiels
Article 87 - Traitement du numéro d'identification national
Article 88 - Traitement de données dans le cadre des relations de travail
Article 89 - Garanties et dérogations applicables au traitement à des fins
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou
historique ou à des fins statistiques
Article 90 - Obligations de secret
Article 91 - Règles existantes des églises et associations religieuses en
matière de protection des données
CHAPITRE X - Actes délégués et actes d'exécution
Article 92 - Exercice de la délégation
Article 93 - Comité
CHAPITRE XI - Dispositions finales
Article 94 - Abrogation de la directive 95/46/CE
Article 95 - Relation avec la directive 2002/58/CE
Article 96 - Relation avec les accords conclus antérieurement
Article 97 - Rapports de la Commission.
Article 98 - Réexamen d'autres actes juridiques de l'Union relatifs à la
protection des données
Article 99 - Entrée en vigueur et application
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son
article 16,
vu la proposition de la Commission européenne,
après transmission du projet d'acte législatif aux parlements nationaux,
vu l'avis du Comité économique et social européen,
vu l'avis du Comité des régions,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)
La protection des personnes physiques à l'égard du traitement des données à
caractère personnel est un droit fondamental. L'article 8, paragraphe 1, de la
Charte des droits fondamentaux de l'Union européenne (ci-après dénommée
«Charte») et l'article 16, paragraphe 1, du traité sur le fonctionnement de
l'Union européenne disposent que toute personne a droit à la protection des
données à caractère personnel la concernant.
(2)
Les principes et les règles régissant la protection des personnes physiques à
l'égard du traitement des données à caractère personnel les concernant
devraient, quelle que soit la nationalité ou la résidence de ces personnes
physiques, respecter leurs libertés et droits fondamentaux, en particulier leur
droit à la protection des données à caractère personnel. Le présent règlement
vise à contribuer à la réalisation d'un espace de liberté, de sécurité et de
justice et d'une union économique, au progrès économique et social, à la
consolidation et à la convergence des économies au sein du marché intérieur,
ainsi qu'au bien-être des personnes physiques.
(3)
La directive 95/46/CE du Parlement européen et du Conseil vise à harmoniser la
protection des libertés et droits fondamentaux des personnes physiques en ce qui
concerne les activités de traitement et à assurer le libre flux des données à
caractère personnel entre les États membres.
(4)
Le traitement des données à caractère personnel devrait être conçu pour servir
l'humanité. Le droit à la protection des données à caractère personnel n'est pas
un droit absolu; il doit être considéré par rapport à sa fonction dans la
société et être mis en balance avec d'autres droits fondamentaux, conformément
au principe de proportionnalité. Le présent règlement respecte tous les droits
fondamentaux et observe les libertés et les principes reconnus par la Charte,
consacrés par les traités, en particulier le respect de la vie privée et
familiale, du domicile et des communications, la protection des données à
caractère personnel, la liberté de pensée, de conscience et de religion, la
liberté d'expression et d'information, la liberté d'entreprise, le droit à un
recours effectif et à accéder à un tribunal impartial, et la diversité
culturelle, religieuse et linguistique.
(5)
L'intégration économique et sociale résultant du fonctionnement du marché
intérieur a conduit à une augmentation substantielle des flux transfrontaliers
de données à caractère personnel. Les échanges de données à caractère personnel
entre acteurs publics et privés, y compris les personnes physiques, les
associations et les entreprises, se sont intensifiés dans l'ensemble de l'Union.
Le droit de l'Union appelle les autorités nationales des États membres à
coopérer et à échanger des données à caractère personnel, afin d'être en mesure
de remplir leurs missions ou d'accomplir des tâches pour le compte d'une
autorité d'un autre État membre.
(6)
L'évolution rapide des technologies et la mondialisation ont créé de nouveaux
enjeux pour la protection des données à caractère personnel. L'ampleur de la
collecte et du partage de données à caractère personnel a augmenté de manière
importante. Les technologies permettent tant aux entreprises privées qu'aux
autorités publiques d'utiliser les données à caractère personnel comme jamais
auparavant dans le cadre de leurs activités. De plus en plus, les personnes
physiques rendent des informations les concernant accessibles publiquement et à
un niveau mondial. Les technologies ont transformé à la fois l'économie et les
rapports sociaux, et elles devraient encore faciliter le libre flux des données
à caractère personnel au sein de l'Union et leur transfert vers des pays tiers
et à des organisations internationales, tout en assurant un niveau élevé de
protection des données à caractère personnel.
(7)
Ces évolutions requièrent un cadre de protection des données solide et plus
cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il
importe de susciter la confiance qui permettra à l'économie numérique de se
développer dans l'ensemble du marché intérieur. Les personnes physiques
devraient avoir le contrôle des données à caractère personnel les concernant. La
sécurité tant juridique que pratique devrait être renforcée pour les personnes
physiques, les opérateurs économiques et les autorités publiques.
(8)
Lorsque le présent règlement dispose que le droit d'un État membre peut apporter
des précisions ou des limitations aux règles qu'il prévoit, les États membres
peuvent intégrer des éléments du présent règlement dans leur droit dans la
mesure nécessaire pour garantir la cohérence et pour rendre les dispositions
nationales compréhensibles pour les personnes auxquelles elles s'appliquent.
(9)
Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes,
la directive 95/46/CE n'a pas permis d'éviter une fragmentation de la mise en
œuvre de la protection des données dans l'Union, une insécurité juridique ou le
sentiment, largement répandu dans le public, que des risques importants pour la
protection des personnes physiques subsistent, en particulier en ce qui concerne
l'environnement en ligne. Les différences dans le niveau de protection des
droits et libertés des personnes physiques, en particulier le droit à la
protection des données à caractère personnel, à l'égard du traitement des
données à caractère personnel dans les États membres peuvent empêcher le libre
flux de ces données dans l'ensemble de l'Union. Ces différences peuvent dès lors
constituer un obstacle à l'exercice des activités économiques au niveau de
l'Union, fausser la concurrence et empêcher les autorités de s'acquitter des
obligations qui leur incombent en vertu du droit de l'Union. Ces différences
dans le niveau de protection résultent de l'existence de divergences dans la
mise en œuvre et l'application de la directive 95/46/CE.
(10)
Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques
et de lever les obstacles aux flux de données à caractère personnel au sein de
l'Union, le niveau de protection des droits et des libertés des personnes
physiques à l'égard du traitement de ces données devrait être équivalent dans
tous les États membres. Il convient dès lors d'assurer une application cohérente
et homogène des règles de protection des libertés et droits fondamentaux des
personnes physiques à l'égard du traitement des données à caractère personnel
dans l'ensemble de l'Union. En ce qui concerne le traitement de données à
caractère personnel nécessaire au respect d'une obligation légale, à l'exécution
d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
dont est investi le responsable du traitement, il y a lieu d'autoriser les États
membres à maintenir ou à introduire des dispositions nationales destinées à
préciser davantage l'application des règles du présent règlement. Parallèlement
à la législation générale et horizontale relative à la protection des données
mettant en œuvre la directive 95/46/CE, il existe, dans les États membres,
plusieurs législations sectorielles spécifiques dans des domaines qui requièrent
des dispositions plus précises. Le présent règlement laisse aussi aux États
membres une marge de manœuvre pour préciser ses règles, y compris en ce qui
concerne le traitement de catégories particulières de données à caractère
personnel (ci-après dénommées «données sensibles»). À cet égard, le présent
règlement n'exclut pas que le droit des États membres précise les circonstances
des situations particulières de traitement y compris en fixant de manière plus
précise les conditions dans lesquelles le traitement de données à caractère
personnel est licite.
(11)
Une protection effective des données à caractère personnel dans l'ensemble de
l'Union exige de renforcer et de préciser les droits des personnes concernées et
les obligations de ceux qui effectuent et déterminent le traitement des données
à caractère personnel, ainsi que de prévoir, dans les États membres, des
pouvoirs équivalents de surveillance et de contrôle du respect des règles
relatives à la protection des données à caractère personnel et des sanctions
équivalentes pour les violations.
(12)
L'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union
européenne donne mandat au Parlement européen et au Conseil pour fixer les
règles relatives à la protection des personnes physiques à l'égard du traitement
des données à caractère personnel ainsi que les règles relatives à la libre
circulation des données à caractère personnel.
(13)
Afin d'assurer un niveau cohérent de protection des personnes physiques dans
l'ensemble de l'Union, et d'éviter que des divergences n'entravent la libre
circulation des données à caractère personnel au sein du marché intérieur, un
règlement est nécessaire pour garantir la sécurité juridique et la transparence
aux opérateurs économiques, y compris les micro, petites et moyennes
entreprises, pour offrir aux personnes physiques de tous les États membres un
même niveau de droits opposables et d'obligations et de responsabilités pour les
responsables du traitement et les sous-traitants, et pour assurer une
surveillance cohérente du traitement des données à caractère personnel, et des
sanctions équivalentes dans tous les États membres, ainsi qu'une coopération
efficace entre les autorités de contrôle des différents États membres. Pour que
le marché intérieur fonctionne correctement, il est nécessaire que la libre
circulation des données à caractère personnel au sein de l'Union ne soit ni
limitée ni interdite pour des motifs liés à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel. Pour tenir
compte de la situation particulière des micro, petites et moyennes entreprises,
le présent règlement comporte une dérogation pour les organisations occupant
moins de 250 employés en ce qui concerne la tenue de registres. Les institutions
et organes de l'Union, et les États membres et leurs autorités de contrôle sont
en outre encouragés à prendre en considération les besoins spécifiques des
micro, petites et moyennes entreprises dans le cadre de l'application du présent
règlement. Pour définir la notion de micro, petites et moyennes entreprises, il
convient de se baser sur l'article 2 de l'annexe de la recommandation
2003/361/CE de la Commission.
(14)
La protection conférée par le présent règlement devrait s'appliquer aux
personnes physiques, indépendamment de leur nationalité ou de leur lieu de
résidence, en ce qui concerne le traitement de leurs données à caractère
personnel. Le présent règlement ne couvre pas le traitement des données à
caractère personnel qui concernent les personnes morales, et en particulier des
entreprises dotées de la personnalité juridique, y compris le nom, la forme
juridique et les coordonnées de la personne morale.
(15)
Afin d'éviter de créer un risque grave de contournement, la protection des
personnes physiques devrait être neutre sur le plan technologique et ne devrait
pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements
de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux
traitements manuels, si les données à caractère personnel sont contenues ou
destinées à être contenues dans un fichier
FICHIER
Un fichier est un traitement de données qui s'organise dans un ensemble stable
et structuré de données. Les données d'un fichier sont accessibles selon des
critères déterminés.
. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne
sont pas structurés selon des critères déterminés ne devraient pas relever du
champ d'application du présent règlement.
(16)
Le présent règlement ne s'applique pas à des questions de protection des
libertés et droits fondamentaux ou de libre flux des données à caractère
personnel concernant des activités qui ne relèvent pas du champ d'application du
droit de l'Union, telles que les activités relatives à la sécurité nationale. Le
présent règlement ne s'applique pas au traitement des données à caractère
personnel par les États membres dans le contexte de leurs activités ayant trait
à la politique étrangère et de sécurité commune de l'Union.
(17)
Le règlement (CE) no 45/2001 du Parlement européen et du Conseil s'applique au
traitement des données à caractère personnel par les institutions, organes et
organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes
juridiques de l'Union applicables audit traitement des données à caractère
personnel devraient être adaptés aux principes et aux règles fixés dans le
présent règlement et appliqués à la lumière du présent règlement. Pour mettre en
place un cadre de protection des données solide et cohérent dans l'Union, il
convient, après l'adoption du présent règlement, d'apporter les adaptations
nécessaires au règlement (CE) no 45/2001 de manière à ce que celles-ci
s'appliquent en même temps que le présent règlement.
(18)
Le présent règlement ne s'applique pas aux traitements de données à caractère
personnel effectués par une personne physique au cours d'activités strictement
personnelles ou domestiques, et donc sans lien avec une activité professionnelle
ou commerciale. Les activités personnelles ou domestiques pourraient inclure
l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation
de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces
activités. Toutefois, le présent règlement s'applique aux responsables du
traitement ou aux sous-traitants qui fournissent les moyens de traiter des
données à caractère personnel pour de telles activités personnelles ou
domestiques.
(19)
La protection des personnes physiques à l'égard du traitement des données à
caractère personnel par les autorités compétentes à des fins de prévention et de
détection des infractions pénales, d'enquêtes et de poursuites en la matière ou
d'exécution de sanctions pénales, y compris la protection contre les menaces
pour la sécurité publique et la prévention de telles menaces et la libre
circulation de ces données, fait l'objet d'un acte juridique spécifique de
l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités
de traitement effectuées à ces fins. Toutefois, les données à caractère
personnel traitées par des autorités publiques en vertu du présent règlement
devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte
juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du
Parlement européen et du Conseil. Les États membres peuvent confier à des
autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne
sont pas nécessairement effectuées à des fins de prévention et de détection des
infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de
sanctions pénales, y compris la protection contre les menaces pour la sécurité
publique et la prévention de telles menaces, de manière à ce que le traitement
de données à caractère personnel à ces autres fins, pour autant qu'il relève du
champ d'application du droit de l'Union, relève du champ d'application du
présent règlement.
En ce qui concerne le traitement de données à caractère personnel par ces
autorités compétentes à des fins relevant du champ d'application du présent
règlement, les États membres devraient pouvoir maintenir ou introduire des
dispositions plus spécifiques pour adapter l'application des règles du présent
règlement. Ces dispositions peuvent déterminer plus précisément les exigences
spécifiques au traitement de données à caractère personnel par ces autorités
compétentes à ces autres fins, compte tenu de la structure constitutionnelle,
organisationnelle et administrative de l'État membre concerné. Lorsque le
traitement de données à caractère personnel par des organismes privés relève du
champ d'application du présent règlement, celui-ci devrait prévoir la
possibilité pour les États membres, sous certaines conditions, de limiter par la
loi certaines obligations et certains droits lorsque cette limitation constitue
une mesure nécessaire et proportionnée dans une société démocratique pour
garantir des intérêts spécifiques importants tels que la sécurité publique,
ainsi que la prévention et la détection des infractions pénales, les enquêtes et
les poursuites en la matière ou l'exécution de sanctions pénales, y compris la
protection contre les menaces pour la sécurité publique et la prévention de
telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte
contre le blanchiment d'argent ou des activités des laboratoires de police
scientifique.
(20)
Bien que le présent règlement s'applique, entre autres, aux activités des
juridictions et autres autorités judiciaires, le droit de l'Union ou le droit
des États membres pourrait préciser les opérations et procédures de traitement
en ce qui concerne le traitement des données à caractère personnel par les
juridictions et autres autorités judiciaires. La compétence des autorités de
contrôle ne devrait pas s'étendre au traitement de données à caractère personnel
effectué par les juridictions dans l'exercice de leur fonction juridictionnelle,
afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de
ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait
être possible de confier le contrôle de ces opérations de traitement de données
à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui
devraient notamment garantir le respect des règles du présent règlement,
sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui
leur incombent en vertu du présent règlement et traiter les réclamations
concernant ces opérations de traitement de données.
(21)
Le présent règlement s'applique sans préjudice de l'application de la directive
2000/31/CE du Parlement européen et du Conseil, et notamment du régime de
responsabilité des prestataires de services intermédiaires prévu dans ses
articles 12 à 15. Cette directive a pour objectif de contribuer au bon
fonctionnement du marché intérieur en assurant la libre circulation des services
de la société de l'information entre les États membres.
(22)
Tout traitement de données à caractère personnel qui a lieu dans le cadre des
activités d'un établissement d'un responsable du traitement ou d'un
sous-traitant
SOUS\-TRAITANT
Le sous-traitant est la personne physique ou morale (entreprise ou organisme
public) qui traite des données pour le compte d’un autre organisme (« le
responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Les sous-...> En savoir plus
sur le territoire de l'Union devrait être effectué conformément au présent
règlement, que le traitement lui-même ait lieu ou non dans l'Union.
L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un
dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il
s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique,
n'est pas déterminante à cet égard.
(23)
Afin de garantir qu'une personne physique ne soit pas exclue de la protection à
laquelle elle a droit en vertu du présent règlement, le traitement de données à
caractère personnel relatives à des personnes concernées qui se trouvent dans
l'Union par un responsable du traitement ou un sous-traitant qui n'est pas
établi dans l'Union devrait être soumis au présent règlement lorsque les
activités de traitement sont liées à l'offre de biens ou de services à ces
personnes, qu'un paiement soit exigé ou non. Afin de déterminer si un tel
responsable du traitement ou sous-traitant offre des biens ou des services à des
personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il
est clair que le responsable du traitement ou le sous-traitant envisage d'offrir
des services à des personnes concernées dans un ou plusieurs États membres de
l'Union. Alors que la simple accessibilité du site internet du responsable du
traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse
électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement
utilisée dans le pays tiers où le responsable du traitement est établi ne suffit
pas pour établir cette intention, des facteurs tels que l'utilisation d'une
langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec
la possibilité de commander des biens et des services dans cette autre langue ou
la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent
indiquer clairement que le responsable du traitement envisage d'offrir des biens
ou des services à des personnes concernées dans l'Union.
(24)
Le traitement de données à caractère personnel de personnes concernées qui se
trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui
n'est pas établi dans l'Union devrait également être soumis au présent règlement
lorsque ledit traitement est lié au suivi du comportement de ces personnes dans
la mesure où il s'agit de leur comportement au sein de l'Union. Afin de
déterminer si une activité de traitement peut être considérée comme un suivi du
comportement des personnes concernées, il y a lieu d'établir si les personnes
physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure
éventuelle de techniques de traitement des données à caractère personnel qui
consistent en un profilage d'une personne physique, afin notamment de prendre
des décisions la concernant ou d'analyser ou de prédire ses préférences, ses
comportements et ses dispositions d'esprit.
(25)
Lorsque le droit d'un État membre s'applique en vertu du droit international
public, le présent règlement devrait s'appliquer également à un responsable du
traitement qui n'est pas établi dans l'Union, par exemple qui se trouve auprès
de la représentation diplomatique ou consulaire d'un État membre.
(26)
Il y a lieu d'appliquer les principes relatifs à la protection des données à
toute information concernant une personne physique identifiée ou identifiable.
Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et
qui pourraient être attribuées à une personne physique par le recours à des
informations supplémentaires devraient être considérées comme des informations
concernant une personne physique identifiable. Pour déterminer si une personne
physique est identifiable, il convient de prendre en considération l'ensemble
des moyens raisonnablement susceptibles d'être utilisés par le responsable du
traitement ou par toute autre personne pour identifier la personne physique
directement ou indirectement, tels que le ciblage. Pour établir si des moyens
sont raisonnablement susceptibles d'être utilisés pour identifier une personne
physique, il convient de prendre en considération l'ensemble des facteurs
objectifs, tels que le coût de l'identification et le temps nécessaire à
celle-ci, en tenant compte des technologies disponibles au moment du traitement
et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les
principes relatifs à la protection des données aux informations anonymes, à
savoir les informations ne concernant pas une personne physique identifiée ou
identifiable, ni aux données à caractère personnel rendues anonymes de telle
manière que la personne concernée ne soit pas ou plus identifiable. Le présent
règlement ne s'applique, par conséquent, pas au traitement de telles
informations anonymes, y compris à des fins statistiques ou de recherche.
(27)
Le présent règlement ne s'applique pas aux données à caractère personnel des
personnes décédées. Les États membres peuvent prévoir des règles relatives au
traitement des données à caractère personnel des personnes décédées.
(28)
La pseudonymisation des données à caractère personnel peut réduire les risques
pour les personnes concernées et aider les responsables du traitement et les
sous-traitants à remplir leurs obligations en matière de protection des données.
L'introduction explicite de la pseudonymisation dans le présent règlement ne
vise pas à exclure toute autre mesure de protection des données.
(29)
Afin d'encourager la pseudonymisation dans le cadre du traitement des données à
caractère personnel, des mesures de pseudonymisation devraient être possibles
chez un même responsable du traitement, tout en permettant une analyse générale,
lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires
afin de garantir, pour le traitement concerné, que le présent règlement est mis
en œuvre, et que les informations supplémentaires permettant d'attribuer les
données à caractère personnel à une personne concernée précise soient conservées
séparément. Le responsable du traitement qui traite les données à caractère
personnel devrait indiquer les personnes autorisées à cet effet chez un même
responsable du traitement.
(30)
Les personnes physiques peuvent se voir associer, par les appareils,
applications, outils et protocoles qu'elles utilisent, des identifiants en ligne
tels que des adresses IP et des témoins de connexion («cookies») ou d'autres
identifiants, par exemple des étiquettes d'identification par radiofréquence.
Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont
combinées aux identifiants uniques et à d'autres informations reçues par les
serveurs, peuvent servir à créer des profils de personnes physiques et à
identifier ces personnes.
(31)
Les autorités publiques auxquelles des données à caractère personnel sont
communiquées conformément à une obligation légale pour l'exercice de leurs
fonctions officielles, telles que les autorités fiscales et douanières, les
cellules d'enquête financière, les autorités administratives indépendantes ou
les autorités des marchés financiers responsables de la réglementation et de la
surveillance des marchés de valeurs mobilières ne devraient pas être considérées
comme des destinataires si elles reçoivent des données à caractère personnel qui
sont nécessaires pour mener une enquête particulière dans l'intérêt général,
conformément au droit de l'Union ou au droit d'un État membre. Les demandes de
communication adressées par les autorités publiques devraient toujours être
présentées par écrit, être motivées et revêtir un caractère occasionnel, et
elles ne devraient pas porter sur l'intégralité d'un fichier ni conduire à
l'interconnexion de fichiers. Le traitement des données à caractère personnel
par les autorités publiques en question devrait être effectué dans le respect
des règles applicables en matière de protection des données en fonction des
finalités du traitement.
(32)
Le consentement devrait être donné par un acte positif clair par lequel la
personne concernée manifeste de façon libre, spécifique, éclairée et univoque
son accord au traitement des données à caractère personnel la concernant, par
exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou
d'une déclaration orale. Cela pourrait se faire notamment en cochant une case
lors de la consultation d'un site internet, en optant pour certains paramètres
techniques pour des services de la société de l'information ou au moyen d'une
autre déclaration ou d'un autre comportement indiquant clairement dans ce
contexte que la personne concernée accepte le traitement proposé de ses données
à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de
silence, de cases cochées par défaut ou d'inactivité. Le consentement donné
devrait valoir pour toutes les activités de traitement ayant la ou les mêmes
finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait
être donné pour l'ensemble d'entre elles. Si le consentement de la personne
concernée est donné à la suite d'une demande introduite par voie électronique,
cette demande doit être claire et concise et ne doit pas inutilement perturber
l'utilisation du service pour lequel il est accordé.
(33)
Souvent, il n'est pas possible de cerner entièrement la finalité du traitement
des données à caractère personnel à des fins de recherche scientifique au moment
de la collecte des données. Par conséquent, les personnes concernées devraient
pouvoir donner leur consentement en ce qui concerne certains domaines de la
recherche scientifique, dans le respect des normes éthiques reconnues en matière
de recherche scientifique. Les personnes concernées devraient pouvoir donner
leur consentement uniquement pour ce qui est de certains domaines de la
recherche ou de certaines parties de projets de recherche, dans la mesure où la
finalité visée le permet.
(34)
Les données génétiques devraient être définies comme les données à caractère
personnel relatives aux caractéristiques génétiques héréditaires ou acquises
d'une personne physique, résultant de l'analyse d'un échantillon biologique de
la personne physique en question, notamment une analyse des chromosomes, de
l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou de
l'analyse d'un autre élément permettant d'obtenir des informations équivalentes.
(35)
Les données à caractère personnel concernant la santé devraient comprendre
l'ensemble des données se rapportant à l'état de santé d'une personne concernée
qui révèlent des informations sur l'état de santé physique ou mentale passé,
présent ou futur de la personne concernée. Cela comprend des informations sur la
personne physique collectées lors de l'inscription de cette personne physique en
vue de bénéficier de services de soins de santé ou lors de la prestation de ces
services au sens de la directive 2011/24/UE du Parlement européen et du Conseil
au bénéfice de cette personne physique; un numéro, un symbole ou un élément
spécifique attribué à une personne physique pour l'identifier de manière unique
à des fins de santé; des informations obtenues lors du test ou de l'examen d'une
partie du corps ou d'une substance corporelle, y compris à partir de données
génétiques et d'échantillons biologiques; et toute information concernant, par
exemple, une maladie, un handicap, un risque de maladie, les antécédents
médicaux, un traitement clinique ou l'état physiologique ou biomédical de la
personne concernée, indépendamment de sa source, qu'elle provienne par exemple
d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un
dispositif médical ou d'un test de diagnostic in vitro.
(36)
L'établissement principal d'un responsable du traitement dans l'Union devrait
être le lieu de son administration centrale dans l'Union, à moins que les
décisions quant aux finalités et aux moyens du traitement des données à
caractère personnel soient prises dans un autre établissement du responsable du
traitement dans l'Union, auquel cas cet autre établissement devrait être
considéré comme étant l'établissement principal. L'établissement principal d'un
responsable du traitement dans l'Union devrait être déterminé en fonction de
critères objectifs et devrait supposer l'exercice effectif et réel d'activités
de gestion déterminant les décisions principales quant aux finalités et aux
moyens du traitement dans le cadre d'un dispositif stable. Ce critère ne devrait
pas dépendre du fait que le traitement ait lieu à cet endroit. La présence et
l'utilisation de moyens techniques et de technologies de traitement de données à
caractère personnel ou d'activités de traitement ne constituent pas, en
elles-mêmes, un établissement principal et ne sont, dès lors, pas des critères
déterminants pour un établissement principal. L'établissement principal du
sous-traitant devrait être le lieu de son administration centrale dans l'Union
ou, s'il ne dispose pas d'une administration centrale dans l'Union, le lieu où
se déroule l'essentiel des activités de traitement dans l'Union. Lorsque le
responsable du traitement et le sous-traitant sont tous deux concernés,
l'autorité de contrôle de l'État membre dans lequel le responsable du traitement
a son établissement principal devrait rester l'autorité de contrôle chef de file
compétente, mais l'autorité de contrôle du sous-traitant devrait être considérée
comme étant une autorité de contrôle concernée et cette autorité de contrôle
devrait participer à la procédure de coopération prévue par le présent
règlement. En tout état de cause, les autorités de contrôle du ou des États
membres dans lesquels le sous-traitant a un ou plusieurs établissements ne
devraient pas être considérées comme étant des autorités de contrôle concernées
lorsque le projet de décision ne concerne que le responsable du traitement.
Lorsque le traitement est effectué par un groupe d'entreprises, l'établissement
principal de l'entreprise qui exerce le contrôle devrait être considéré comme
étant l'établissement principal du groupe d'entreprises, excepté lorsque les
finalités et les moyens du traitement sont déterminés par une autre entreprise.
(37)
Un groupe d'entreprises devrait couvrir une entreprise qui exerce le contrôle et
ses entreprises contrôlées, la première devant être celle qui peut exercer une
influence dominante sur les autres entreprises du fait, par exemple, de la
détention du capital, d'une participation financière ou des règles qui la
régissent, ou du pouvoir de faire appliquer les règles relatives à la protection
des données à caractère personnel. Une entreprise qui contrôle le traitement de
données à caractère personnel dans des entreprises qui lui sont affiliées
devrait être considérée comme formant avec ces dernières un groupe
d'entreprises.
(38)
Les enfants méritent une protection spécifique en ce qui concerne leurs données
à caractère personnel parce qu'ils peuvent être moins conscients des risques,
des conséquences et des garanties concernées et de leurs droits liés au
traitement des données à caractère personnel. Cette protection spécifique
devrait, notamment, s'appliquer à l'utilisation de données à caractère personnel
relatives aux enfants à des fins de marketing ou de création de profils de
personnalité ou d'utilisateur et à la collecte de données à caractère personnel
relatives aux enfants lors de l'utilisation de services proposés directement à
un enfant. Le consentement du titulaire de la responsabilité parentale ne
devrait pas être nécessaire dans le cadre de services de prévention ou de
conseil proposés directement à un enfant.
(39)
Tout traitement de données à caractère personnel devrait être licite et loyal.
Le fait que des données à caractère personnel concernant des personnes physiques
sont collectées, utilisées, consultées ou traitées d'une autre manière et la
mesure dans laquelle ces données sont ou seront traitées devraient être
transparents à l'égard des personnes physiques concernées. Le principe de
transparence exige que toute information et communication relatives au
traitement de ces données à caractère personnel soient aisément accessibles,
faciles à comprendre, et formulées en des termes clairs et simples. Ce principe
vaut, notamment, pour les informations communiquées aux personnes concernées sur
l'identité du responsable du traitement et sur les finalités du traitement ainsi
que pour les autres informations visant à assurer un traitement loyal et
transparent à l'égard des personnes physiques concernées et leur droit d'obtenir
la confirmation et la communication des données à caractère personnel les
concernant qui font l'objet d'un traitement. Les personnes physiques devraient
être informées des risques, règles, garanties et droits liés au traitement des
données à caractère personnel et des modalités d'exercice de leurs droits en ce
qui concerne ce traitement. En particulier, les finalités spécifiques du
traitement des données à caractère personnel devraient être explicites et
légitimes, et déterminées lors de la collecte des données à caractère personnel.
Les données à caractère personnel devraient être adéquates, pertinentes et
limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont
traitées. Cela exige, notamment, de garantir que la durée de conservation des
données soit limitée au strict minimum. Les données à caractère personnel ne
devraient être traitées que si la finalité du traitement ne peut être
raisonnablement atteinte par d'autres moyens. Afin de garantir que les données
ne sont pas conservées plus longtemps que nécessaire, des délais devraient être
fixés par le responsable du traitement pour leur effacement ou pour un examen
périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de
garantir que les données à caractère personnel qui sont inexactes sont
rectifiées ou supprimées. Les données à caractère personnel devraient être
traitées de manière à garantir une sécurité et une confidentialité appropriées,
y compris pour prévenir l'accès non autorisé à ces données et à l'équipement
utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces
données et de cet équipement.
(40)
Pour être licite, le traitement de données à caractère personnel devrait être
fondé sur le consentement de la personne concernée ou reposer sur tout autre
fondement légitime prévu par la loi, soit dans le présent règlement soit dans
une autre disposition du droit national ou du droit de l'Union, ainsi que le
prévoit le présent règlement, y compris la nécessité de respecter l'obligation
légale à laquelle le responsable du traitement est soumis ou la nécessité
d'exécuter un contrat auquel la personne concernée est partie ou pour prendre
des mesures précontractuelles à la demande de la personne concernée.
(41)
Lorsque le présent règlement fait référence à une base juridique ou à une mesure
législative, cela ne signifie pas nécessairement que l'adoption d'un acte
législatif par un parlement est exigée, sans préjudice des obligations prévues
en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette
base juridique ou cette mesure législative devrait être claire et précise et son
application devrait être prévisible pour les justiciables, conformément à la
jurisprudence de la Cour de justice de l'Union européenne (ci-après dénommée
«Cour de justice») et de la Cour européenne des droits de l'homme.
(42)
Lorsque le traitement est fondé sur le consentement de la personne concernée, le
responsable du traitement devrait être en mesure de prouver que ladite personne
a consenti à l'opération de traitement. En particulier, dans le cadre d'une
déclaration écrite relative à une autre question, des garanties devraient
exister afin de garantir que la personne concernée est consciente du
consentement donné et de sa portée. Conformément à la directive 93/13/CEE du
Conseil, une déclaration de consentement rédigée préalablement par le
responsable du traitement devrait être fournie sous une forme compréhensible et
aisément accessible, et formulée en des termes clairs et simples, et elle ne
devrait contenir aucune clause abusive. Pour que le consentement soit éclairé,
la personne concernée devrait connaître au moins l'identité du responsable du
traitement et les finalités du traitement auquel sont destinées les données à
caractère personnel. Le consentement ne devrait pas être considéré comme ayant
été donné librement si la personne concernée ne dispose pas d'une véritable
liberté de choix ou n'est pas en mesure de refuser ou de retirer son
consentement sans subir de préjudice.
(43)
Pour garantir que le consentement est donné librement, il convient que celui-ci
ne constitue pas un fondement juridique valable pour le traitement de données à
caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre
manifeste entre la personne concernée et le responsable du traitement, en
particulier lorsque le responsable du traitement est une autorité publique et
qu'il est improbable que le consentement ait été donné librement au vu de toutes
les circonstances de cette situation particulière. Le consentement est présumé
ne pas avoir été donné librement si un consentement distinct ne peut pas être
donné à différentes opérations de traitement des données à caractère personnel
bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un
contrat, y compris la prestation d'un service, est subordonnée au consentement
malgré que celui-ci ne soit pas nécessaire à une telle exécution.
(44)
Le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans
le cadre d'un contrat ou de l'intention de conclure un contrat.
(45)
Lorsque le traitement est effectué conformément à une obligation légale à
laquelle le responsable du traitement est soumis ou lorsqu'il est nécessaire à
l'exécution d'une mission d'intérêt public ou relevant de l'exercice de
l'autorité publique, le traitement devrait avoir un fondement dans le droit de
l'Union ou dans le droit d'un État membre. Le présent règlement ne requiert pas
de disposition légale spécifique pour chaque traitement individuel. Une
disposition légale peut suffire pour fonder plusieurs opérations de traitement
basées sur une obligation légale à laquelle le responsable du traitement est
soumis ou lorsque le traitement est nécessaire pour l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité publique. Il devrait
également appartenir au droit de l'Union ou au droit d'un État membre de
déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser
les conditions générales du présent règlement régissant la licéité du traitement
des données à caractère personnel, établir les spécifications visant à
déterminer le responsable du traitement, le type de données à caractère
personnel faisant l'objet du traitement, les personnes concernées, les entités
auxquelles les données à caractère personnel peuvent être communiquées, les
limitations de la finalité, la durée de conservation et d'autres mesures visant
à garantir un traitement licite et loyal. Il devrait, également, appartenir au
droit de l'Union ou au droit d'un État membre de déterminer si le responsable du
traitement exécutant une mission d'intérêt public ou relevant de l'exercice de
l'autorité publique devrait être une autorité publique ou une autre personne
physique ou morale de droit public ou, lorsque l'intérêt public le commande, y
compris à des fins de santé, telles que la santé publique, la protection sociale
et la gestion des services de soins de santé, de droit privé, telle qu'une
association professionnelle.
(46)
Le traitement de données à caractère personnel devrait être également considéré
comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la
vie de la personne concernée ou à celle d'une autre personne physique. Le
traitement de données à caractère personnel fondé sur l'intérêt vital d'une
autre personne physique ne devrait en principe avoir lieu que lorsque le
traitement ne peut manifestement pas être fondé sur une autre base juridique.
Certains types de traitement peuvent être justifiés à la fois par des motifs
importants d'intérêt public et par les intérêts vitaux de la personne concernée,
par exemple lorsque le traitement est nécessaire à des fins humanitaires, y
compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence
humanitaire, notamment les situations de catastrophe naturelle et d'origine
humaine.
(47)
Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un
responsable du traitement à qui les données à caractère personnel peuvent être
communiquées, ou d'un tiers peuvent constituer une base juridique pour le
traitement, à moins que les intérêts ou les libertés et droits fondamentaux de
la personne concernée ne prévalent, compte tenu des attentes raisonnables des
personnes concernées fondées sur leur relation avec le responsable du
traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il
existe une relation pertinente et appropriée entre la personne concernée et le
responsable du traitement dans des situations telles que celles où la personne
concernée est un client du responsable du traitement ou est à son service. En
tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet
d'une évaluation attentive, notamment afin de déterminer si une personne
concernée peut raisonnablement s'attendre, au moment et dans le cadre de la
collecte des données à caractère personnel, à ce que celles-ci fassent l'objet
d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la
personne concernée pourraient, en particulier, prévaloir sur l'intérêt du
responsable du traitement lorsque des données à caractère personnel sont
traitées dans des circonstances où les personnes concernées ne s'attendent
raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au
législateur de prévoir par la loi la base juridique pour le traitement des
données à caractère personnel par les autorités publiques, cette base juridique
ne devrait pas s'appliquer aux traitements effectués par des autorités publiques
dans l'accomplissement de leurs missions. Le traitement de données à caractère
personnel strictement nécessaire à des fins de prévention de la fraude constitue
également un intérêt légitime du responsable du traitement concerné. Le
traitement de données à caractère personnel à des fins de prospection peut être
considéré comme étant réalisé pour répondre à un intérêt légitime.
(48)
Les responsables du traitement qui font partie d'un groupe d'entreprises ou
d'établissements affiliés à un organisme central peuvent avoir un intérêt
légitime à transmettre des données à caractère personnel au sein du groupe
d'entreprises à des fins administratives internes, y compris le traitement de
données à caractère personnel relatives à des clients ou des employés. Les
principes généraux régissant le transfert de données
TRANSFERT DE DONNÉES
Toute communication, copie ou déplacement de données personnelles ayant vocation
à être traitées dans un pays tiers à l’Union européenne.
à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise
située dans un pays tiers ne sont pas remis en cause.
(49)
Le traitement de données à caractère personnel dans la mesure strictement
nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des
informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information
de résister, à un niveau de confiance donné, à des événements accidentels ou à
des actions illégales ou malveillantes qui compromettent la disponibilité,
l'authenticité, l'intégrité et la confidentialité de données à caractère
personnel conservées ou transmises, ainsi que la sécurité des services connexes
offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités
publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des
équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des
fournisseurs de réseaux et de services de communications électroniques et des
fournisseurs de technologies et services de sécurité, constitue un intérêt
légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple,
d'empêcher l'accès non autorisé à des réseaux de communications électroniques et
la distribution de codes malveillants, et de faire cesser des attaques par «déni
de service» et des dommages touchant les systèmes de communications
informatiques et électroniques.
(50)
Le traitement de données à caractère personnel pour d'autres finalités que
celles pour lesquelles les données à caractère personnel ont été collectées
initialement ne devrait être autorisé que s'il est compatible avec les finalités
pour lesquelles les données à caractère personnel ont été collectées
initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis
la collecte des données à caractère personnel n'est requise. Si le traitement
est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de
l'exercice de l'autorité publique dont est investi le responsable du traitement,
le droit de l'Union ou le droit d'un État membre peut déterminer et préciser les
missions et les finalités pour lesquelles le traitement ultérieur devrait être
considéré comme compatible et licite. Le traitement ultérieur à des fins
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou
historique ou à des fins statistiques devrait être considéré comme une opération
de traitement licite compatible. La base juridique prévue par le droit de
l'Union ou le droit d'un État membre en ce qui concerne le traitement de données
à caractère personnel peut également constituer la base juridique pour un
traitement ultérieur. Afin d'établir si les finalités d'un traitement ultérieur
sont compatibles avec celles pour lesquelles les données à caractère personnel
ont été collectées initialement, le responsable du traitement, après avoir
respecté toutes les exigences liées à la licéité du traitement initial, devrait
tenir compte, entre autres: de tout lien entre ces finalités et les finalités du
traitement ultérieur prévu; du contexte dans lequel les données à caractère
personnel ont été collectées, en particulier les attentes raisonnables des
personnes concernées, en fonction de leur relation avec le responsable du
traitement, quant à l'utilisation ultérieure desdites données; la nature des
données à caractère personnel; les conséquences pour les personnes concernées du
traitement ultérieur prévu; et l'existence de garanties appropriées à la fois
dans le cadre du traitement initial et du traitement ultérieur prévu.
Lorsque la personne concernée a donné son consentement ou que le traitement est
fondé sur le droit de l'Union ou le droit d'un État membre qui constitue une
mesure nécessaire et proportionnée dans une société démocratique pour garantir,
en particulier, d'importants objectifs d'intérêt public général, le responsable
du traitement devrait être autorisé à effectuer un traitement ultérieur des
données à caractère personnel indépendamment de la compatibilité des finalités.
En tout état de cause, l'application des principes énoncés dans le présent
règlement et, en particulier, l'information de la personne concernée au sujet de
ces autres finalités et de ses droits, y compris le droit de s'opposer au
traitement, devraient être assurées. Le fait, pour le responsable du traitement,
de révéler l'existence d'éventuelles infractions pénales ou de menaces pour la
sécurité publique et de transmettre à une autorité compétente les données à
caractère personnel concernées dans des cas individuels ou dans plusieurs cas
relatifs à une même infraction pénale ou à des mêmes menaces pour la sécurité
publique devrait être considéré comme relevant de l'intérêt légitime du
responsable du traitement. Néanmoins, cette transmission dans l'intérêt légitime
du responsable du traitement ou le traitement ultérieur des données à caractère
personnel devrait être interdit lorsque le traitement est incompatible avec une
obligation de confidentialité légale, professionnelle ou toute autre obligation
de confidentialité contraignante.
(51)
Les données à caractère personnel qui sont, par nature, particulièrement
sensibles du point de vue des libertés et des droits fondamentaux méritent une
protection spécifique, car le contexte dans lequel elles sont traitées pourrait
engendrer des risques importants pour ces libertés et droits. Ces données à
caractère personnel devraient comprendre les données à caractère personnel qui
révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de
l'expression «origine raciale» dans le présent règlement n'implique pas que
l'Union adhère à des théories tendant à établir l'existence de races humaines
distinctes. Le traitement des photographies ne devrait pas systématiquement être
considéré comme constituant un traitement de catégories particulières de données
à caractère personnel, étant donné que celles-ci ne relèvent de la définition de
données biométriques que lorsqu'elles sont traitées selon un mode technique
spécifique permettant l'identification ou l'authentification unique d'une
personne physique. De telles données à caractère personnel ne devraient pas
faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des
cas spécifiques prévus par le présent règlement, compte tenu du fait que le
droit d'un État membre peut prévoir des dispositions spécifiques relatives à la
protection des données visant à adapter l'application des règles du présent
règlement en vue de respecter une obligation légale ou pour l'exécution d'une
mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont
est investi le responsable du traitement. Outre les exigences spécifiques
applicables à ce traitement, les principes généraux et les autres règles du
présent règlement devraient s'appliquer, en particulier en ce qui concerne les
conditions de licéité du traitement. Des dérogations à l'interdiction générale
de traiter ces catégories particulières de données à caractère personnel
devraient être explicitement prévues, entre autres lorsque la personne concernée
donne son consentement explicite ou pour répondre à des besoins spécifiques, en
particulier lorsque le traitement est effectué dans le cadre d'activités
légitimes de certaines associations ou fondations ayant pour objet de permettre
l'exercice des libertés fondamentales.
(52)
Des dérogations à l'interdiction de traiter des catégories particulières de
données à caractère personnel devraient également être autorisées lorsque le
droit de l'Union ou le droit d'un État membre le prévoit, et sous réserve de
garanties appropriées, de manière à protéger les données à caractère personnel
et d'autres droits fondamentaux, lorsque l'intérêt public le commande, notamment
le traitement des données à caractère personnel dans le domaine du droit du
travail et du droit de la protection sociale, y compris les retraites, et à des
fins de sécurité, de surveillance et d'alerte sanitaire, de prévention ou de
contrôle de maladies transmissibles et d'autres menaces graves pour la santé.
Ces dérogations sont possibles à des fins de santé, en ce compris la santé
publique et la gestion des services de soins de santé, en particulier pour
assurer la qualité et l'efficience des procédures de règlement des demandes de
prestations et de services dans le régime d'assurance-maladie, ou à des fins
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou
historique ou à des fins statistiques. Une dérogation devrait, en outre,
permettre le traitement de ces données à caractère personnel, si cela est
nécessaire aux fins de la constatation, de l'exercice ou de la défense d'un
droit en justice, que ce soit dans le cadre d'une procédure judiciaire,
administrative ou extrajudiciaire.
(53)
Les catégories particulières de données à caractère personnel qui méritent une
protection plus élevée ne devraient être traitées qu'à des fins liées à la
santé, lorsque cela est nécessaire pour atteindre ces finalités dans l'intérêt
des personnes physiques et de la société dans son ensemble, notamment dans le
cadre de la gestion des services et des systèmes de soins de santé ou de
protection sociale, y compris le traitement, par les autorités de gestion et les
autorités centrales de santé nationales, de ces données, en vue du contrôle de
la qualité, de l'information des gestionnaires et de la supervision générale, au
niveau national et local, du système de soins de santé ou de protection sociale
et en vue d'assurer la continuité des soins de santé ou de la protection sociale
et des soins de santé transfrontaliers ou à des fins de sécurité, de
surveillance et d'alerte sanitaires, ou à des fins archivistiques dans l'intérêt
public, à des fins de recherche scientifique ou historique ou à des fins
statistiques, sur la base du droit de l'Union ou du droit des États membres qui
doit répondre à un objectif d'intérêt public, ainsi que pour des études menées
dans l'intérêt public dans le domaine de la santé publique. Le présent règlement
devrait dès lors prévoir des conditions harmonisées pour le traitement des
catégories particulières de données à caractère personnel relatives à la santé,
pour répondre à des besoins spécifiques, en particulier lorsque le traitement de
ces données est effectué pour certaines fins liées à la santé par des personnes
soumises à une obligation légale de secret professionnel. Le droit de l'Union ou
le droit des États membres devrait prévoir des mesures spécifiques et
appropriées de façon à protéger les droits fondamentaux et les données à
caractère personnel des personnes physiques. Les États membres devraient être
autorisés à maintenir ou à introduire des conditions supplémentaires, y compris
des limitations, en ce qui concerne le traitement des données génétiques, des
données biométriques ou des données concernant la santé. Toutefois, cela ne
devrait pas entraver le libre flux des données à caractère personnel au sein de
l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces
données.
(54)
Le traitement des catégories particulières de données à caractère personnel peut
être nécessaire pour des motifs d'intérêt public dans les domaines de la santé
publique, sans le consentement de la personne concernée. Un tel traitement
devrait faire l'objet de mesures appropriées et spécifiques de façon à protéger
les droits et libertés des personnes physiques. Dans ce contexte, la notion de
«santé publique» devrait s'interpréter selon la définition contenue dans le
règlement (CE) no 1338/2008 du Parlement européen et du Conseil, à savoir tous
les éléments relatifs à la santé, à savoir l'état de santé, morbidité et
handicap inclus, les déterminants ayant un effet sur cet état de santé, les
besoins en matière de soins de santé, les ressources consacrées aux soins de
santé, la fourniture de soins de santé, l'accès universel à ces soins, les
dépenses de santé et leur financement, ainsi que les causes de mortalité. De
tels traitements de données concernant la santé pour des motifs d'intérêt public
ne devraient pas aboutir à ce que des données à caractère personnel soient
traitées à d'autres fins par des tiers, tels que les employeurs ou les
compagnies d'assurance et les banques.
(55)
En outre, le traitement de données à caractère personnel par des autorités
publiques aux fins de réaliser les objectifs, prévus par le droit
constitutionnel ou le droit international public, d'associations à caractère
religieux officiellement reconnues est effectué pour des motifs d'intérêt
public.
(56)
Lorsque, dans le cadre d'activités liées à des élections, le fonctionnement du
système démocratique dans un État membre requiert que les partis politiques
collectent des données à caractère personnel relatives aux opinions politiques
des personnes, le traitement de telles données peut être autorisé pour des
motifs d'intérêt public, à condition que des garanties appropriées soient
prévues.
(57)
Si les données à caractère personnel qu'il traite ne lui permettent pas
d'identifier une personne physique, le responsable du traitement ne devrait pas
être tenu d'obtenir des informations supplémentaires pour identifier la personne
concernée à la seule fin de respecter une disposition du présent règlement.
Toutefois, le responsable du traitement ne devrait pas refuser des informations
supplémentaires fournies par la personne concernée afin de faciliter l'exercice
de ses droits. L'identification devrait comprendre l'identification numérique
d'une personne concernée, par exemple au moyen d'un mécanisme d'authentification
tel que les mêmes identifiants utilisés par la personne concernée pour se
connecter au service en ligne proposé par le responsable du traitement.
(58)
Le principe de transparence exige que toute information adressée au public ou à
la personne concernée soit concise, aisément accessible et facile à comprendre,
et formulée en des termes clairs et simples et, en outre, lorsqu'il y a lieu,
illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies
sous forme électronique, par exemple via un site internet lorsqu'elles
s'adressent au public. Ceci vaut tout particulièrement dans des situations où la
multiplication des acteurs et la complexité des technologies utilisées font en
sorte qu'il est difficile pour la personne concernée de savoir et de comprendre
si des données à caractère personnel la concernant sont collectées, par qui et à
quelle fin, comme dans le cas de la publicité en ligne. Les enfants méritant une
protection spécifique, toute information et communication, lorsque le traitement
les concerne, devraient être rédigées en des termes clairs et simples que
l'enfant peut aisément comprendre.
(59)
Des modalités devraient être prévues pour faciliter l'exercice par la personne
concernée des droits qui lui sont conférés par le présent règlement, y compris
les moyens de demander et, le cas échéant, d'obtenir sans frais, notamment,
l'accès aux données à caractère personnel, et leur rectification ou leur
effacement, et l'exercice d'un droit d'opposition. Le responsable du traitement
devrait également fournir les moyens de présenter des demandes par voie
électronique, en particulier lorsque les données à caractère personnel font
l'objet d'un traitement électronique. Le responsable du traitement devrait être
tenu de répondre aux demandes émanant de la personne concernée dans les
meilleurs délais et au plus tard dans un délai d'un mois et de motiver sa
réponse lorsqu'il a l'intention de ne pas donner suite à de telles demandes.
(60)
Le principe de traitement loyal et transparent exige que la personne concernée
soit informée de l'existence de l'opération de traitement et de ses finalités.
Le responsable du traitement devrait fournir à la personne concernée toute autre
information nécessaire pour garantir un traitement équitable et transparent,
compte tenu des circonstances particulières et du contexte dans lesquels les
données à caractère personnel sont traitées. En outre, la personne concernée
devrait être informée de l'existence d'un profilage et des conséquences de
celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la
personne concernée, il importe que celle-ci sache également si elle est obligée
de fournir ces données à caractère personnel et soit informée des conséquences
auxquelles elle s'expose si elle ne les fournit pas. Ces informations peuvent
être fournies accompagnées d'icônes normalisées afin d'offrir une bonne vue
d'ensemble, facilement visible, compréhensible et clairement lisible, du
traitement prévu. Lorsque les icônes sont présentées par voie électronique,
elles devraient être lisibles par machine.
(61)
Les informations sur le traitement des données à caractère personnel relatives à
la personne concernée devraient lui être fournies au moment où ces données sont
collectées auprès d'elle ou, si les données à caractère personnel sont obtenues
d'une autre source, dans un délai raisonnable en fonction des circonstances
propres à chaque cas. Lorsque des données à caractère personnel peuvent être
légitimement communiquées à un autre destinataire
DESTINATAIRE
Personne habilitée à obtenir communication de données enregistrées dans un
fichier ou un traitement en raison de ses fonctions.
, il convient que la personne concernée soit informée du moment auquel ces
données à caractère personnel sont communiquées pour la première fois audit
destinataire. Lorsqu'il a l'intention de traiter les données à caractère
personnel à des fins autres que celles pour lesquelles elles ont été collectées,
le responsable du traitement devrait, avant de procéder à ce traitement
ultérieur, fournir à la personne concernée des informations au sujet de cette
autre finalité et toute autre information nécessaire. Lorsque l'origine des
données à caractère personnel n'a pas pu être communiquée à la personne
concernée parce que plusieurs sources ont été utilisées, des informations
générales devraient être fournies.
(62)
Toutefois, il n'est pas nécessaire d'imposer l'obligation de fournir des
informations lorsque la personne concernée dispose déjà de ces informations,
lorsque l'enregistrement ou la communication des données à caractère personnel
est expressément prévu par la loi ou lorsque la communication d'informations à
la personne concernée se révèle impossible ou exigerait des efforts
disproportionnés. Tel pourrait être le cas, notamment, lorsqu'il s'agit d'un
traitement à des fins archivistiques dans l'intérêt public, à des fins de
recherche scientifique ou historique ou à des fins statistiques. À cet égard,
devraient être pris en considération le nombre de personnes concernées,
l'ancienneté des données, ainsi que les garanties appropriées éventuelles
adoptées.
(63)
Une personne concernée devrait avoir le droit d'accéder aux données à caractère
personnel qui ont été collectées à son sujet et d'exercer ce droit facilement et
à des intervalles raisonnables, afin de prendre connaissance du traitement et
d'en vérifier la licéité. Cela inclut le droit des personnes concernées
d'accéder aux données concernant leur santé, par exemple les données de leurs
dossiers médicaux contenant des informations telles que des diagnostics, des
résultats d'examens, des avis de médecins traitants et tout traitement ou
intervention administrés. En conséquence, toute personne concernée devrait avoir
le droit de connaître et de se faire communiquer, en particulier, les finalités
du traitement des données à caractère personnel, si possible la durée du
traitement de ces données à caractère personnel, l'identité des destinataires de
ces données à caractère personnel, la logique qui sous-tend leur éventuel
traitement automatisé et les conséquences que ce traitement pourrait avoir, au
moins en cas de profilage. Lorsque c'est possible, le responsable du traitement
devrait pouvoir donner l'accès à distance à un système sécurisé permettant à la
personne concernée d'accéder directement aux données à caractère personnel la
concernant. Ce droit ne devrait pas porter atteinte aux droits ou libertés
d'autrui, y compris au secret des affaires ou à la propriété intellectuelle,
notamment au droit d'auteur protégeant le logiciel. Cependant, ces
considérations ne devraient pas aboutir à refuser toute communication
d'informations à la personne concernée. Lorsque le responsable du traitement
traite une grande quantité de données relatives à la personne concernée, il
devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les
informations, sur quelles données ou quelles opérations de traitement sa demande
porte.
(64)
Le responsable du traitement devrait prendre toutes les mesures raisonnables
pour vérifier l'identité d'une personne concernée qui demande l'accès à des
données, en particulier dans le cadre des services et identifiants en ligne. Un
responsable du traitement ne devrait pas conserver des données à caractère
personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.
(65)
Les personnes concernées devraient avoir le droit de faire rectifier des données
à caractère personnel les concernant, et disposer d'un «droit à l'oubli» lorsque
la conservation de ces données constitue une violation du présent règlement ou
du droit de l'Union ou du droit d'un État membre auquel le responsable du
traitement est soumis. En particulier, les personnes concernées devraient avoir
le droit d'obtenir que leurs données à caractère personnel soient effacées et ne
soient plus traitées, lorsque ces données à caractère personnel ne sont plus
nécessaires au regard des finalités pour lesquelles elles ont été collectées ou
traitées d'une autre manière, lorsque les personnes concernées ont retiré leur
consentement au traitement ou lorsqu'elles s'opposent au traitement de données à
caractère personnel les concernant, ou encore lorsque le traitement de leurs
données à caractère personnel ne respecte pas d'une autre manière le présent
règlement. Ce droit est pertinent, en particulier, lorsque la personne concernée
a donné son consentement à l'époque où elle était enfant et n'était pas
pleinement consciente des risques inhérents au traitement, et qu'elle souhaite
par la suite supprimer ces données à caractère personnel, en particulier sur
l'internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le
fait qu'elle n'est plus un enfant. Toutefois, la conservation ultérieure des
données à caractère personnel devrait être licite lorsqu'elle est nécessaire à
l'exercice du droit à la liberté d'expression et d'information, au respect d'une
obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de
l'exercice de l'autorité publique dont est investi le responsable du traitement,
pour des motifs d'intérêt public dans le domaine de la santé publique, à des
fins archivistiques dans l'intérêt public, à des fins de recherche scientifique
ou historique ou à des fins statistiques, ou à la constatation, à l'exercice ou
à la défense de droits en justice.
(66)
Afin de renforcer le «droit à l'oubli» numérique, le droit à l'effacement
devrait également être étendu de façon à ce que le responsable du traitement qui
a rendu les données à caractère personnel publiques soit tenu d'informer les
responsables du traitement qui traitent ces données à caractère personnel qu'il
convient d'effacer tout lien vers ces données, ou toute copie ou reproduction de
celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures
raisonnables, compte tenu des technologies disponibles et des moyens dont il
dispose, y compris des mesures techniques afin d'informer les responsables du
traitement qui traitent les données à caractère personnel de la demande formulée
par la personne concernée.
(67)
Les méthodes visant à limiter le traitement de données à caractère personnel
pourraient consister, entre autres, à déplacer temporairement les données
sélectionnées vers un autre système de traitement, à rendre les données à
caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer
temporairement les données publiées d'un site internet. Dans les fichiers
automatisés, la limitation du traitement devrait en principe être assurée par
des moyens techniques de façon à ce que les données à caractère personnel ne
fassent pas l'objet d'opérations de traitements ultérieures et ne puissent pas
être modifiées. Le fait que le traitement des données à caractère personnel est
limité devrait être indiqué de manière claire dans le fichier.
(68)
Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données,
les personnes concernées devraient aussi avoir le droit, lorsque des données à
caractère personnel font l'objet d'un traitement automatisé, de recevoir les
données à caractère personnel les concernant, qu'elles ont fournies à un
responsable du traitement, dans un format structuré, couramment utilisé, lisible
par machine et interopérable, et de les transmettre à un autre responsable du
traitement. Il y a lieu d'encourager les responsables du traitement à mettre au
point des formats interopérables permettant la portabilité des données. Ce droit
devrait s'appliquer lorsque la personne concernée a fourni les données à
caractère personnel sur la base de son consentement ou lorsque le traitement est
nécessaire pour l'exécution d'un contrat. Il ne devrait pas s'appliquer lorsque
le traitement est fondé sur un motif légal autre que le consentement ou
l'exécution d'un contrat. De par sa nature même, ce droit ne devrait pas être
exercé à l'encontre de responsables du traitement qui traitent des données à
caractère personnel dans l'exercice de leurs missions publiques. Il ne devrait
dès lors pas s'appliquer lorsque le traitement des données à caractère personnel
est nécessaire au respect d'une obligation légale à laquelle le responsable du
traitement est soumis ou à l'exécution d'une mission d'intérêt public ou
relevant de l'exercice de l'autorité publique dont est investi le responsable du
traitement. Le droit de la personne concernée de transmettre ou de recevoir des
données à caractère personnel la concernant ne devrait pas créer, pour les
responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes
de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de
données à caractère personnel, plusieurs personnes sont concernées, le droit de
recevoir les données à caractère personnel devrait s'entendre sans préjudice des
droits et libertés des autres personnes concernées conformément au présent
règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la
personne concernée d'obtenir l'effacement de données à caractère personnel ni
aux limitations de ce droit comme le prévoit le présent règlement et il ne
devrait pas, notamment, entraîner l'effacement de données à caractère personnel
relatives à la personne concernée qui ont été fournies par celle-ci pour
l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données à
caractère personnel sont nécessaires à l'exécution de ce contrat. Lorsque c'est
techniquement possible, la personne concernée devrait avoir le droit d'obtenir
que les données soient transmises directement d'un responsable du traitement à
un autre.
(69)
Lorsque des données à caractère personnel pourraient être traitées de manière
licite parce que le traitement est nécessaire à l'exécution d'une mission
d'intérêt public ou relevant de l'exercice de l'autorité publique dont est
investi le responsable du traitement, ou en raison des intérêts légitimes du
responsable du traitement ou d'un tiers, les personnes concernées devraient
néanmoins avoir le droit de s'opposer au traitement de toute donnée à caractère
personnel en rapport avec leur situation particulière. Il devrait incomber au
responsable du traitement de prouver que ses intérêts légitimes impérieux
prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne
concernée.
(70)
Lorsque des données à caractère personnel sont traitées à des fins de
prospection, la personne concernée devrait avoir le droit, à tout moment et sans
frais, de s'opposer à ce traitement, y compris le profilage dans la mesure où il
est lié à une telle prospection, qu'il s'agisse d'un traitement initial ou
ultérieur. Ce droit devrait être explicitement porté à l'attention de la
personne concernée et présenté clairement et séparément de toute autre
information.
(71)
La personne concernée devrait avoir le droit de ne pas faire l'objet d'une
décision, qui peut comprendre une mesure, impliquant l'évaluation de certains
aspects personnels la concernant, qui est prise sur le seul fondement d'un
traitement automatisé et qui produit des effets juridiques la concernant ou qui,
de façon similaire, l'affecte de manière significative, tels que le rejet
automatique d'une demande de crédit en ligne ou des pratiques de recrutement en
ligne sans aucune intervention humaine. Ce type de traitement inclut le
«profilage» qui consiste en toute forme de traitement automatisé de données à
caractère personnel visant à évaluer les aspects personnels relatifs à une
personne physique, notamment pour analyser ou prédire des aspects concernant le
rendement au travail de la personne concernée, sa situation économique, sa
santé, ses préférences ou centres d'intérêt personnels, sa fiabilité ou son
comportement, ou sa localisation et ses déplacements, dès lors qu'il produit des
effets juridiques concernant la personne en question ou qu'il l'affecte de façon
similaire de manière significative. Toutefois, la prise de décision fondée sur
un tel traitement, y compris le profilage, devrait être permise lorsqu'elle est
expressément autorisée par le droit de l'Union ou le droit d'un État membre
auquel le responsable du traitement est soumis, y compris aux fins de contrôler
et de prévenir les fraudes et l'évasion fiscale conformément aux règles, normes
et recommandations des institutions de l'Union ou des organes de contrôle
nationaux, et d'assurer la sécurité et la fiabilité d'un service fourni par le
responsable du traitement, ou nécessaire à la conclusion ou à l'exécution d'un
contrat entre la personne concernée et un responsable du traitement, ou si la
personne concernée a donné son consentement explicite. En tout état de cause, un
traitement de ce type devrait être assorti de garanties appropriées, qui
devraient comprendre une information spécifique de la personne concernée ainsi
que le droit d'obtenir une intervention humaine, d'exprimer son point de vue,
d'obtenir une explication quant à la décision prise à l'issue de ce type
d'évaluation et de contester la décision. Cette mesure ne devrait pas concerner
un enfant.
Afin d’assurer un traitement équitable et transparent à l’égard de la personne
concernée, compte tenu des circonstances particulières et du contexte dans
lesquels les données à caractère personnel sont traitées, le responsable du
traitement devrait utiliser des procédures mathématiques ou statistiques
adéquates aux fins du profilage, appliquer les mesures techniques et
organisationnelles appropriées pour faire en sorte, en particulier, que les
facteurs qui entraînent des erreurs dans les données à caractère personnel
soient corrigés et que le risque d’erreur soit réduit au minimum, sécuriser les
données à caractère personnel d’une manière qui tienne compte des risques
susceptibles de peser sur les intérêts et les droits de la personne concernée,
et prévenir, entre autres, les effets discriminatoires à l’égard des personnes
physiques fondés sur l’origine raciale ou ethnique, les opinions politiques, la
religion ou les convictions, l’appartenance syndicale, le statut génétique ou
l’état de santé, ou l’orientation sexuelle, ou tout traitement qui se traduit
par des mesures produisant un tel effet. La prise de décision et le profilage
automatisés fondés sur des catégories particulières de données à caractère
personnel ne devraient être autorisés que dans des conditions spécifiques.
(72)
Le profilage est soumis aux règles du présent règlement régissant le traitement
des données à caractère personnel, par exemple le fondement juridique du
traitement ou les principes en matière de protection des données. Le comité
européen de la protection des données établi par le présent règlement (ci-après
dénommé «comité») devrait pouvoir publier des directives à cet égard.
(73)
Des limitations à certains principes spécifiques ainsi qu'au droit à
l'information, au droit d'accès aux données à caractère personnel, au droit de
rectification
DROIT DE RECTIFICATION
Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou
effacer des informations la concernant lorsqu’ont été décelées des erreurs, des
inexactitudes ou la présence de données dont la collecte, l’utilisation, la
communication ou la...> En savoir plus
ou d'effacement de ces données, au droit à la portabilité des données, au droit
d'opposition, aux décisions fondées sur le profilage, ainsi qu'à la
communication d'une violation de données
VIOLATION DE DONNÉES
Une violation de la sécurité se caractérise par la destruction, la perte,
l'altération, la divulgation non autorisée de données à caractère personnel
transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé
à de telles données,...> En savoir plus
à caractère personnel à une personne concernée et à certaines obligations
connexes des responsables du traitement peuvent être imposées par le droit de
l'Union ou le droit d'un État membre, dans la mesure nécessaire et proportionnée
dans une société démocratique pour garantir la sécurité publique, y compris la
protection de la vie humaine, particulièrement en réponse à des catastrophes
d'origine naturelle ou humaine, la prévention des infractions pénales, les
enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y
compris la protection contre les menaces pour la sécurité publique et la
prévention de telles menaces ou de manquements à la déontologie des professions
réglementées, et pour garantir d'autres objectifs d'intérêt public importants de
l'Union ou d'un État membre, notamment un intérêt économique ou financier
important de l'Union ou d'un État membre, la tenue de registres publics
conservés pour des motifs d'intérêt public général, le traitement ultérieur de
données à caractère personnel archivées pour fournir des informations
spécifiques relatives au comportement politique dans le cadre des régimes des
anciens États totalitaires ou la protection de la personne concernée ou des
droits et libertés d'autrui, y compris la protection sociale, la santé publique
et les finalités humanitaires. Il y a lieu que ces limitations respectent les
exigences énoncées par la Charte et par la convention européenne de sauvegarde
des droits de l'homme et des libertés fondamentales.
(74)
Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout
traitement de données à caractère personnel qu'il effectue lui-même ou qui est
réalisé pour son compte. Il importe, en particulier, que le responsable du
traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et
soit à même de démontrer la conformité des activités de traitement avec le
présent règlement, y compris l'efficacité des mesures. Ces mesures devraient
tenir compte de la nature, de la portée, du contexte et des finalités du
traitement ainsi que du risque que celui-ci présente pour les droits et libertés
des personnes physiques.
(75)
Des risques pour les droits et libertés des personnes physiques, dont le degré
de probabilité et de gravité varie, peuvent résulter du traitement de données à
caractère personnel qui est susceptible d'entraîner des dommages physiques,
matériels ou un préjudice moral, en particulier: lorsque le traitement peut
donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une
perte financière, à une atteinte à la réputation, à une perte de confidentialité
de données protégées par le secret professionnel, à un renversement non autorisé
du processus de pseudonymisation ou à tout autre dommage économique ou social
important; lorsque les personnes concernées pourraient être privées de leurs
droits et libertés ou empêchées d'exercer le contrôle sur leurs données à
caractère personnel; lorsque le traitement concerne des données à caractère
personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques,
la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi
que des données génétiques, des données concernant la santé ou des données
concernant la vie sexuelle ou des données relatives à des condamnations pénales
et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des
aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la
prédiction d'éléments concernant le rendement au travail, la situation
économique, la santé, les préférences ou centres d'intérêt personnels, la
fiabilité ou le comportement, la localisation ou les déplacements, en vue de
créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des
données à caractère personnel relatives à des personnes physiques vulnérables,
en particulier les enfants; ou lorsque le traitement porte sur un volume
important de données à caractère personnel et touche un nombre important de
personnes concernées.
(76)
Il convient de déterminer la probabilité et la gravité du risque pour les droits
et libertés de la personne concernée en fonction de la nature, de la portée, du
contexte et des finalités du traitement. Le risque devrait faire l'objet d'une
évaluation objective permettant de déterminer si les opérations de traitement
des données comportent un risque ou un risque élevé.
(77)
Des directives relatives à la mise en œuvre de mesures appropriées et à la
démonstration par le responsable du traitement ou le sous-traitant du respect du
présent règlement, notamment en ce qui concerne l'identification du risque lié
au traitement, leur évaluation en termes d'origine, de nature, de probabilité et
de gravité, et l'identification des meilleures pratiques visant à atténuer le
risque, pourraient être fournies notamment au moyen de codes de conduite
approuvés, de certifications approuvées et de lignes directrices données par le
comité ou d'indications données par un délégué à la protection des données. Le
comité peut également publier des lignes directrices relatives aux opérations de
traitement considérées comme étant peu susceptibles d'engendrer un risque élevé
pour les droits et libertés des personnes physiques et indiquer les mesures qui
peuvent suffire dans de tels cas pour faire face à un tel risque.
(78)
La protection des droits et libertés des personnes physiques à l'égard du
traitement des données à caractère personnel exige l'adoption de mesures
techniques et organisationnelles appropriées pour garantir que les exigences du
présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il
respecte le présent règlement, le responsable du traitement devrait adopter des
règles internes et mettre en œuvre des mesures qui respectent, en particulier,
les principes de protection des données dès la conception et de protection des
données par défaut. Ces mesures pourraient consister, entre autres, à réduire à
un minimum le traitement des données à caractère personnel, à pseudonymiser les
données à caractère personnel dès que possible, à garantir la transparence en ce
qui concerne les fonctions et le traitement des données à caractère personnel, à
permettre à la personne concernée de contrôler le traitement des données, à
permettre au responsable du traitement de mettre en place des dispositifs de
sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la
sélection et de l'utilisation d'applications, de services et de produits qui
reposent sur le traitement de données à caractère personnel ou traitent des
données à caractère personnel pour remplir leurs fonctions, il convient
d'inciter les fabricants de produits, les prestataires de services et les
producteurs d'applications à prendre en compte le droit à la protection des
données lors de l'élaboration et de la conception de tels produits, services et
applications et, compte dûment tenu de l'état des connaissances, à s'assurer que
les responsables du traitement et les sous-traitants sont en mesure de
s'acquitter des obligations qui leur incombent en matière de protection des
données. Les principes de protection des données dès la conception et de
protection des données par défaut devraient également être pris en considération
dans le cadre des marchés publics.
(79)
La protection des droits et libertés des personnes concernées, de même que la
responsabilité des responsables du traitement et des sous-traitants, y compris
dans le cadre de la surveillance exercée par les autorités de contrôle et des
mesures prises par celles-ci, exige une répartition claire des responsabilités
au titre du présent règlement, y compris lorsque le responsable du traitement
détermine les finalités et les moyens du traitement conjointement avec d'autres
responsables du traitement, ou lorsqu'une opération de traitement est effectuée
pour le compte d'un responsable du traitement.
(80)
Lorsqu'un responsable du traitement ou un sous-traitant qui n'est pas établi
dans l'Union traite des données à caractère personnel de personnes concernées
qui se trouvent dans l'Union et que ses activités de traitement sont liées à
l'offre de biens ou de services à ces personnes dans l'Union, qu'un paiement
leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où
celui-ci a lieu au sein de l'Union, il convient que le responsable du traitement
ou le sous-traitant désigne un représentant, à moins que le traitement soit
occasionnel, n'implique pas un traitement, à grande échelle, de catégories
particulières de données à caractère personnel ou le traitement de données à
caractère personnel relatives à des condamnations pénales et à des infractions,
et soit peu susceptible d'engendrer un risque pour les droits et libertés des
personnes physiques, compte tenu de la nature, du contexte, de la portée et des
finalités du traitement, ou si le responsable du traitement est une autorité
publique ou un organisme public. Le représentant devrait agir pour le compte du
responsable du traitement ou du sous-traitant et peut être contacté par toute
autorité de contrôle. Le représentant devrait être expressément désigné par un
mandat écrit du responsable du traitement ou du sous-traitant pour agir en son
nom en ce qui concerne les obligations qui lui incombent en vertu du présent
règlement. La désignation de ce représentant ne porte pas atteinte aux
responsabilités du responsable du traitement ou du sous-traitant au titre du
présent règlement. Ce représentant devrait accomplir ses tâches conformément au
mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer
avec les autorités de contrôle compétentes en ce qui concerne toute action
entreprise pour assurer le respect du présent règlement. Le représentant désigné
devrait faire l'objet de procédures coercitives en cas de non-respect du présent
règlement par le responsable du traitement ou le sous-traitant.
(81)
Afin que les exigences du présent règlement soient respectées dans le cadre d'un
traitement réalisé par un sous-traitant pour le compte du responsable du
traitement, lorsque ce dernier confie des activités de traitement à un
sous-traitant, le responsable du traitement ne devrait faire appel qu'à des
sous-traitants présentant des garanties suffisantes, notamment en termes de
connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre
de mesures techniques et organisationnelles qui satisferont aux exigences du
présent règlement, y compris en matière de sécurité du traitement. L'application
par un sous-traitant d'un code de conduite
CODE DE CONDUITE
Les codes de conduite traduisent une application concrète de la réglementation
sur la protection des données à un secteur d’activité donné et se composent de
bonnes pratiques (durée de conservation, mention d’information, modes
opératoires…). Ils ...> En savoir plus
approuvé ou d'un mécanisme de certification approuvé peut servir à démontrer le
respect des obligations incombant au responsable du traitement. La réalisation
d'un traitement par un sous-traitant devrait être régie par un contrat ou un
autre acte juridique au titre du droit de l'Union ou du droit d'un État membre,
liant le sous-traitant au responsable du traitement, définissant l'objet et la
durée du traitement, la nature et les finalités du traitement, le type de
données à caractère personnel et les catégories de personnes concernées, en
tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le
cadre du traitement à effectuer et du risque pour les droits et libertés de la
personne concernée. Le responsable du traitement et le sous-traitant peuvent
choisir de recourir à un contrat particulier ou à des clauses contractuelles
types
CLAUSES CONTRACTUELLES TYPES
Il s’agit de modèles de clauses contractuelles adoptés par la Commission
européenne permettant d’encadrer les transferts de données personnelles
effectués par des responsables de traitement vers des destinataires situés hors
de l’Union européenne. El...> En savoir plus
, qui sont adoptées soit directement par la Commission soit par une autorité de
contrôle conformément au mécanisme de contrôle de la cohérence, puis par la
Commission. Après la réalisation du traitement pour le compte du responsable du
traitement, le sous-traitant devrait, selon le choix du responsable du
traitement, renvoyer ou supprimer les données à caractère personnel, à moins que
le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est
soumis n'exige la conservation des données à caractère personnel.
(82)
Afin de démontrer qu'il respecte le présent règlement, le responsable du
traitement ou le sous-traitant devrait tenir des registres pour les activités de
traitement relevant de sa responsabilité. Chaque responsable du traitement et
sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de
mettre ces registres à la disposition de celle-ci, sur demande, pour qu'ils
servent au contrôle des opérations de traitement.
(83)
Afin de garantir la sécurité et de prévenir tout traitement effectué en
violation du présent règlement, il importe que le responsable du traitement ou
le sous-traitant évalue les risques inhérents au traitement et mette en œuvre
des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient
assurer un niveau de sécurité approprié, y compris la confidentialité, compte
tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux
risques et à la nature des données à caractère personnel à protéger. Dans le
cadre de l'évaluation des risques pour la sécurité des données, il convient de
prendre en compte les risques que présente le traitement de données à caractère
personnel, tels que la destruction, la perte ou l'altération, la divulgation non
autorisée de données à caractère personnel transmises, conservées ou traitées
d'une autre manière ou l'accès non autorisé à de telles données, de manière
accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages
physiques, matériels ou un préjudice moral.
(84)
Afin de mieux garantir le respect du présent règlement lorsque les opérations de
traitement sont susceptibles d'engendrer un risque élevé pour les droits et
libertés des personnes physiques, le responsable du traitement devrait assumer
la responsabilité d'effectuer une analyse d'impact relative à la protection des
données pour évaluer, en particulier, l'origine, la nature, la particularité et
la gravité de ce risque. Il convient de tenir compte du résultat de cette
analyse pour déterminer les mesures appropriées à prendre afin de démontrer que
le traitement des données à caractère personnel respecte le présent règlement.
Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que
les opérations de traitement des données comportent un risque élevé que le
responsable du traitement ne peut atténuer en prenant des mesures appropriées
compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre,
il convient que l'autorité de contrôle soit consultée avant que le traitement
n'ait lieu.
(85)
Une violation de données à caractère personnel risque, si l'on n'intervient pas
à temps et de manière appropriée, de causer aux personnes physiques concernées
des dommages physiques, matériels ou un préjudice moral tels qu'une perte de
contrôle sur leurs données à caractère personnel ou la limitation de leurs
droits, une discrimination, un vol ou une usurpation d'identité, une perte
financière, un renversement non autorisé de la procédure de pseudonymisation,
une atteinte à la réputation, une perte de confidentialité de données à
caractère personnel protégées par le secret professionnel ou tout autre dommage
économique ou social important. En conséquence, dès que le responsable du
traitement apprend qu'une violation de données à caractère personnel s'est
produite, il convient qu'il le notifie à l'autorité de contrôle dans les
meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en
avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au
principe de responsabilité, qu'il est peu probable que la violation en question
engendre un risque pour les droits et libertés des personnes physiques. Si une
telle notification ne peut avoir lieu dans ce délai de 72 heures, la
notification devrait être assortie des motifs du retard et des informations
peuvent être fournies de manière échelonnée sans autre retard indu.
(86)
Le responsable du traitement devrait communiquer une violation de données à
caractère personnel à la personne concernée dans les meilleurs délais lorsque
cette violation est susceptible d'engendrer un risque élevé pour les droits et
libertés de la personne physique afin qu'elle puisse prendre les précautions qui
s'imposent. La communication devrait décrire la nature de la violation des
données à caractère personnel et formuler des recommandations à la personne
physique concernée pour atténuer les effets négatifs potentiels. Il convient que
de telles communications aux personnes concernées soient effectuées aussi
rapidement qu'il est raisonnablement possible et en coopération étroite avec
l'autorité de contrôle, dans le respect des directives données par celle-ci ou
par d'autres autorités compétentes, telles que les autorités répressives. Par
exemple, la nécessité d'atténuer un risque immédiat de dommage pourrait
justifier d'adresser rapidement une communication aux personnes concernées,
alors que la nécessité de mettre en œuvre des mesures appropriées empêchant la
poursuite de la violation des données à caractère personnel ou la survenance de
violations similaires peut justifier un délai plus long pour la communication.
(87)
Il convient de vérifier si toutes les mesures de protection techniques et
organisationnelles appropriées ont été mises en œuvre pour établir immédiatement
si une violation des données à caractère personnel s'est produite et pour
informer rapidement l'autorité de contrôle et la personne concernée. Il convient
d'établir que la notification a été faite dans les meilleurs délais, compte tenu
en particulier de la nature et de la gravité de la violation des données à
caractère personnel et de ses conséquences et effets négatifs pour la personne
concernée. Une telle notification peut amener une autorité de contrôle à
intervenir conformément à ses missions et à ses pouvoirs fixés par le présent
règlement.
(88)
Lors de la fixation de règles détaillées concernant la forme et les procédures
applicables à la notification des violations de données à caractère personnel,
il convient de tenir dûment compte des circonstances de cette violation, y
compris du fait que les données à caractère personnel étaient ou non protégées
par des mesures de protection techniques appropriées, limitant efficacement la
probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces
règles et procédures devraient tenir compte des intérêts légitimes des autorités
répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement
l'enquête sur les circonstances de la violation des données à caractère
personnel.
(89)
La directive 95/46/CE prévoyait une obligation générale de notifier les
traitements de données à caractère personnel aux autorités de contrôle. Or,
cette obligation génère une charge administrative et financière, sans pour
autant avoir systématiquement contribué à améliorer la protection des données à
caractère personnel. Ces obligations générales de notification sans distinction
devraient dès lors être supprimées et remplacées par des procédures et des
mécanismes efficaces ciblant plutôt les types d'opérations de traitement
susceptibles d'engendrer un risque élevé pour les droits et libertés des
personnes physiques, du fait de leur nature, de leur portée, de leur contexte et
de leurs finalités. Ces types d'opérations de traitement peuvent inclure ceux
qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont
nouveaux et pour lesquels aucune analyse d'impact relative à la protection des
données n'a été effectuée au préalable par le responsable du traitement, ou qui
deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.
(90)
Dans de tels cas, une analyse d'impact relative à la protection des données
devrait être effectuée par le responsable du traitement, préalablement au
traitement, en vue d'évaluer la probabilité et la gravité particulières du
risque élevé, compte tenu de la nature, de la portée, du contexte et des
finalités du traitement et des sources du risque. Cette analyse d'impact devrait
comprendre, notamment, les mesures, garanties et mécanismes envisagés pour
atténuer ce risque, assurer la protection des données à caractère personnel et
démontrer le respect du présent règlement.
(91)
Cela devrait s'appliquer en particulier aux opérations de traitement à grande
échelle qui visent à traiter un volume considérable de données à caractère
personnel au niveau régional, national ou supranational, qui peuvent affecter un
nombre important de personnes concernées et qui sont susceptibles d'engendrer un
risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en
conformité avec l'état des connaissances technologiques, une nouvelle technique
est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui
engendrent un risque élevé pour les droits et libertés des personnes concernées,
en particulier lorsque, du fait de ces opérations, il est plus difficile pour
ces personnes d'exercer leurs droits. Une analyse d'impact relative à la
protection des données devrait également être effectuée lorsque des données à
caractère personnel sont traitées en vue de prendre des décisions relatives à
des personnes physiques spécifiques à la suite d'une évaluation systématique et
approfondie d'aspects personnels propres à des personnes physiques sur la base
du profilage desdites données ou à la suite du traitement de catégories
particulières de données à caractère personnel, de données biométriques ou de
données relatives à des condamnations pénales et à des infractions, ou encore à
des mesures de sûreté connexes. Une analyse d'impact relative à la protection
des données est de même requise aux fins de la surveillance à grande échelle de
zones accessibles au public, en particulier lorsque des dispositifs
opto-électroniques sont utilisés, ou pour toute autre opération pour laquelle
l'autorité de contrôle compétente considère que le traitement est susceptible
d'engendrer un risque élevé pour les droits et libertés des personnes
concernées, en particulier parce qu'elles empêchent ces personnes d'exercer un
droit ou de bénéficier d'un service ou d'un contrat, ou parce qu'elles sont
effectuées systématiquement à grande échelle. Le traitement de données à
caractère personnel ne devrait pas être considéré comme étant à grande échelle
si le traitement concerne les données à caractère personnel de patients ou de
clients par un médecin, un autre professionnel de la santé ou un avocat exerçant
à titre individuel. Dans de tels cas, une analyse d'impact relative à la
protection des données ne devrait pas être obligatoire.
(92)
Il existe des cas dans lesquels il peut être raisonnable et économique d'élargir
la portée de l'analyse d'impact relative à la protection des données au-delà
d'un projet unique, par exemple lorsque des autorités publiques ou organismes
publics entendent mettre en place une application ou une plateforme de
traitement commune, ou lorsque plusieurs responsables du traitement envisagent
de créer une application ou un environnement de traitement communs à tout un
secteur ou segment professionnel, ou pour une activité transversale largement
utilisée.
(93)
Au moment de l'adoption du droit d'un État membre qui fonde l'exercice des
missions de l'autorité publique ou de l'organisme public concernés et qui
règlemente l'opération ou l'ensemble d'opérations de traitement spécifiques, les
États membres peuvent estimer qu'une telle analyse est nécessaire préalablement
aux activités de traitement.
(94)
Lorsqu'il ressort d'une analyse d'impact relative à la protection des données
que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour
atténuer le risque, le traitement engendrerait un risque élevé pour les droits
et libertés des personnes physiques et que le responsable du traitement est
d'avis que le risque ne peut être atténué par des moyens raisonnables compte
tenu des techniques disponibles et des coûts de mise en œuvre, il y a lieu de
consulter l'autorité de contrôle avant le début des opérations de traitement.
Certains types de traitements et l'ampleur et la fréquence des traitements sont
susceptibles d'engendrer un tel risque élevé et peuvent également causer un
dommage ou porter atteinte aux droits et libertés d'une personne physique.
L'autorité de contrôle devrait répondre à la demande de consultation dans un
délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans
le délai imparti devrait être sans préjudice de toute intervention de sa part
effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent
règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans
le cadre de ce processus de consultation, les résultats d'une analyse d'impact
relative à la protection des données réalisée en ce qui concerne le traitement
en question peuvent être soumis à l'autorité de contrôle, notamment les mesures
envisagées pour atténuer le risque pour les droits et libertés des personnes
physiques.
(95)
Le sous-traitant devrait aider le responsable du traitement, si nécessaire et
sur demande, à assurer le respect des obligations découlant de la réalisation
des analyses d'impact relatives à la protection des données et de la
consultation préalable de l'autorité de contrôle.
(96)
L'autorité de contrôle devrait également être consultée au stade de la
préparation d'une mesure législative ou réglementaire qui prévoit le traitement
de données à caractère personnel, afin d'assurer que le traitement prévu
respecte le présent règlement et, en particulier, d'atténuer le risque qu'il
comporte pour la personne concernée.
(97)
Lorsque le traitement est réalisé par une autorité publique, à l'exception des
juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice
de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est
effectué par un responsable du traitement dont les activités de base consistent
en opérations de traitement exigeant un suivi régulier et systématique à grande
échelle des personnes concernées, ou lorsque les activités de base du
responsable du traitement ou du sous-traitant consistent en un traitement à
grande échelle de catégories particulières de données à caractère personnel et
de données relatives à des condamnations pénales et à des infractions, une
personne possédant des connaissances spécialisées de la législation et des
pratiques en matière de protection des données devrait aider le responsable du
traitement ou le sous-traitant à vérifier le respect, au niveau interne, du
présent règlement. Dans le secteur privé, les activités de base d'un responsable
du traitement ont trait à ses activités principales et ne concernent pas le
traitement des données à caractère personnel en tant qu'activité auxiliaire. Le
niveau de connaissances spécialisées requis devrait être déterminé notamment en
fonction des opérations de traitement de données effectuées et de la protection
exigée pour les données à caractère personnel traitées par le responsable du
traitement ou le sous-traitant. De tels délégués à la protection des données,
qu'ils soient ou non des employés du responsable du traitement, devraient être
en mesure d'exercer leurs fonctions et missions en toute indépendance.
(98)
Il y a lieu d'encourager les associations ou autres organismes représentant des
catégories de responsables du traitement ou de sous-traitants à élaborer des
codes de conduite, dans les limites du présent règlement, de manière à en
faciliter la bonne application, compte tenu des spécificités des traitements
effectués dans certains secteurs et des besoins spécifiques des micro, petites
et moyennes entreprises. Ces codes de conduite pourraient, en particulier,
définir les obligations qui incombent aux responsables du traitement et aux
sous-traitants, compte tenu du risque que le traitement peut engendrer pour les
droits et libertés des personnes physiques.
(99)
Lors de l'élaboration d'un code de conduite, ou lors de sa modification ou
prorogation, les associations et autres organismes représentant des catégories
de responsables du traitement ou de sous-traitants devraient consulter les
parties intéressées, y compris les personnes concernées lorsque cela est
possible, et tenir compte des contributions transmises et des opinions exprimées
à la suite de ces consultations.
(100)
Afin de favoriser la transparence et le respect du présent règlement, la mise en
place de mécanismes de certification ainsi que de labels et de marques en
matière de protection des données devrait être encouragée pour permettre aux
personnes concernées d'évaluer rapidement le niveau de protection des données
offert par les produits et services en question.
(101)
Les flux de données à caractère personnel à destination et en provenance de pays
en dehors de l'Union et d'organisations internationales sont nécessaires au
développement du commerce international et de la coopération internationale.
L'augmentation de ces flux a créé de nouveaux enjeux et de nouvelles
préoccupations en ce qui concerne la protection des données à caractère
personnel. Cependant, il importe que, lorsque des données à caractère personnel
sont transférées de l'Union à des responsables du traitement, sous-traitants ou
autres destinataires dans des pays tiers ou à des organisations internationales,
le niveau de protection des personnes physiques garanti dans l'Union par le
présent règlement ne soit pas compromis, y compris en cas de transferts
ultérieurs de données à caractère personnel au départ du pays tiers ou de
l'organisation internationale à des responsables du traitement ou sous-traitants
dans le même pays tiers ou dans un pays tiers différent, ou à une autre
organisation internationale. En tout état de cause, les transferts vers des pays
tiers et à des organisations internationales ne peuvent avoir lieu que dans le
plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si,
sous réserve des autres dispositions du présent règlement, les dispositions du
présent règlement relatives au transfert de données à caractère personnel vers
des pays tiers ou à des organisations internationales sont respectées par le
responsable du traitement ou le sous-traitant.
(102)
Le présent règlement s'entend sans préjudice des accords internationaux conclus
entre l'Union et les pays tiers en vue de réglementer le transfert des données à
caractère personnel, y compris les garanties appropriées au bénéfice des
personnes concernées. Les États membres peuvent conclure des accords
internationaux impliquant le transfert de données à caractère personnel vers des
pays tiers ou à des organisations internationales dans la mesure où ces accords
n'affectent pas le présent règlement ou toute autre disposition du droit de
l'Union et prévoient un niveau approprié de protection des droits fondamentaux
des personnes concernées.
(103)
La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays
tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une
organisation internationale offre un niveau adéquat de protection des données,
assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union
en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé
offrir un tel niveau de protection. Dans ce cas, les transferts de données à
caractère personnel vers ce pays tiers ou cette organisation internationale
peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation.
La Commission peut également décider, après en avoir informé le pays tiers ou
l'organisation internationale et lui avoir fourni une justification complète, de
révoquer une telle décision.
(104)
Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en
particulier la protection des droits de l'homme, la Commission devrait, dans son
évaluation d'un pays tiers, d'un territoire ou d'un secteur déterminé dans un
pays tiers, prendre en considération la manière dont un pays tiers déterminé
respecte l'état de droit, garantit l'accès à la justice et observe les règles et
normes internationales dans le domaine des droits de l'homme, ainsi que sa
législation générale et sectorielle, y compris la législation sur la sécurité
publique, la défense et la sécurité nationale ainsi que l'ordre public et le
droit pénal. Lors de l'adoption, à l'égard d'un territoire ou d'un secteur
déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de tenir
compte de critères clairs et objectifs, telles que les activités de traitement
spécifiques et le champ d'application des normes juridiques applicables et de la
législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des
garanties pour assurer un niveau adéquat de protection essentiellement
équivalent à celui qui est garanti dans l'Union, en particulier quand les
données à caractère personnel sont traitées dans un ou plusieurs secteurs
spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle
indépendant effectif de la protection des données et prévoir des mécanismes de
coopération avec les autorités de protection des données des États membres, et
les personnes concernées devraient se voir octroyer des droits effectifs et
opposables ainsi que des possibilités effectives de recours administratif et
juridictionnel.
(105)
Outre les engagements internationaux pris par le pays tiers ou l'organisation
internationale, la Commission devrait tenir compte des obligations découlant de
la participation du pays tiers ou de l'organisation internationale à des
systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection
des données à caractère personnel, ainsi que de la mise en œuvre de ces
obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion
du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la
protection des personnes à l'égard du traitement automatisé des données à
caractère personnel et à son protocole additionnel. Lorsqu'elle évalue le niveau
de protection offert par des pays tiers ou des organisations internationales, la
Commission devrait consulter le comité.
(106)
La Commission devrait surveiller le fonctionnement des décisions relatives au
niveau de protection offert par un pays tiers, un territoire ou un secteur
déterminé dans un pays tiers, ou par une organisation internationale, et
surveiller le fonctionnement des décisions adoptées sur la base de l'article 25,
paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE. Dans
ses décisions d'adéquation, la Commission devrait prévoir un mécanisme d'examen
périodique de leur fonctionnement. Cet examen périodique devrait être effectué
en consultation avec le pays tiers ou l'organisation internationale en question
et tenir compte de l'ensemble des évolutions présentant un intérêt dans le pays
tiers ou au sein de l'organisation internationale. Aux fins de la surveillance
et de la réalisation des examens périodiques, la Commission devrait prendre en
considération les observations et les conclusions du Parlement européen et du
Conseil, ainsi que d'autres organes et sources pertinents. La Commission devrait
évaluer le fonctionnement desdites décisions dans un délai raisonnable et
communiquer toute conclusion pertinente au comité au sens du règlement (UE)
no 182/2011 du Parlement européen et du Conseil établi en vertu du présent
règlement, au Parlement européen et au Conseil.
(107)
La Commission peut constater qu'un pays tiers, un territoire ou un secteur
déterminé dans un pays tiers, ou une organisation internationale n'assure plus
un niveau adéquat de protection des données. En conséquence, le transfert de
données à caractère personnel vers ce pays tiers ou à cette organisation
internationale devrait être interdit, à moins que les exigences du présent
règlement relatives aux transferts faisant l'objet de garanties appropriées, y
compris des règles d'entreprise contraignantes et des dérogations pour des
situations particulières, soient respectées. Dans ce cas, il y aurait lieu de
prévoir des consultations entre la Commission et le pays tiers ou l'organisation
internationale en question. La Commission devrait informer en temps utile le
pays tiers ou l'organisation internationale des motifs de sa conclusion et
engager des consultations avec ceux-ci en vue de remédier à la situation.
(108)
En l'absence de décision d'adéquation, le responsable du traitement ou le
sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la
protection des données dans le pays tiers par des garanties appropriées en
faveur de la personne concernée. Ces garanties peuvent consister à recourir à
des règles d'entreprise contraignantes, des clauses types de protection des
données adoptées par la Commission, des clauses types de protection des données
adoptées par une autorité de contrôle ou des clauses contractuelles autorisées
par une autorité de contrôle. Ces garanties devraient assurer le respect des
exigences en matière de protection des données et des droits des personnes
concernées d'une manière appropriée au traitement au sein de l'Union, y compris
l'existence de droits opposables de la personne concernée et de voies de droit
effectives, ce qui comprend le droit d'engager un recours administratif ou
juridictionnel effectif et d'introduire une action en réparation, dans l'Union
ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le
respect des principes généraux concernant le traitement des données à caractère
personnel et des principes de protection des données dès la conception et de
protection des données par défaut. Des transferts peuvent également être
effectués par des autorités publiques ou des organismes publics avec des
autorités publiques ou des organismes publics dans des pays tiers ou avec des
organisations internationales exerçant des missions ou fonctions
correspondantes, y compris sur la base de dispositions à intégrer dans des
arrangements administratifs, telles qu'un protocole d'accord, prévoyant des
droits opposables et effectifs pour les personnes concernées. L'autorisation de
l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties
sont prévues dans des arrangements administratifs qui ne sont pas juridiquement
contraignants.
(109)
La possibilité qu'ont les responsables du traitement et les sous-traitants de
recourir à des clauses types de protection des données adoptées par la
Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure
ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant
et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties
supplémentaires, à condition que celles-ci ne contredisent pas, directement ou
indirectement, les clauses contractuelles types adoptées par la Commission ou
par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et
droits fondamentaux des personnes concernées. Les responsables du traitement et
les sous-traitants devraient être encouragés à fournir des garanties
supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient
compléter les clauses types de protection.
(110)
Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité
économique conjointe devrait pouvoir recourir à des règles d'entreprise
contraignantes approuvées pour ses transferts internationaux de l'Union vers des
entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées
dans une activité économique conjointe, à condition que ces règles d'entreprise
incluent tous les principes essentiels et les droits opposables pour assurer des
garanties appropriées pour les transferts ou catégories de transferts de données
à caractère personnel.
(111)
Il y a lieu de prévoir la possibilité de transferts dans certains cas où la
personne concernée a donné son consentement explicite, lorsque le transfert est
occasionnel et nécessaire dans le cadre d'un contrat ou d'une action en justice,
qu'il s'agisse d'une procédure judiciaire, administrative ou extrajudiciaire, y
compris de procédures devant des organismes de régulation. Il convient également
de prévoir la possibilité de transferts lorsque des motifs importants d'intérêt
public établis par le droit de l'Union ou le droit d'un État membre l'exigent,
ou lorsque le transfert intervient au départ d'un registre établi par la loi et
destiné à être consulté par le public ou par des personnes ayant un intérêt
légitime. Dans ce dernier cas, ce transfert ne devrait pas porter sur la
totalité des données à caractère personnel ni sur des catégories entières de
données contenues dans le registre et, lorsque celui-ci est destiné à être
consulté par des personnes ayant un intérêt légitime, le transfert ne devrait
être effectué qu'à la demande de ces personnes ou lorsqu'elles doivent en être
les destinataires, compte dûment tenu des intérêts et des droits fondamentaux de
la personne concernée.
(112)
Ces dérogations devraient s'appliquer en particulier aux transferts de données
requis et nécessaires pour des motifs importants d'intérêt public, par exemple
en cas d'échange international de données entre autorités de la concurrence,
administrations fiscales ou douanières, entre autorités de surveillance
financière, entre services chargés des questions de sécurité sociale ou
relatives à la santé publique, par exemple aux fins de la recherche des contacts
des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou
d'éliminer le dopage dans le sport. Le transfert de données à caractère
personnel devrait également être considéré comme licite lorsqu'il est nécessaire
pour protéger un intérêt essentiel pour la sauvegarde des intérêts vitaux, y
compris l'intégrité physique ou la vie, de la personne concernée ou d'une autre
personne, si la personne concernée se trouve dans l'incapacité de donner son
consentement. En l'absence d'une décision d'adéquation, le droit de l'Union ou
le droit d'un État membre peut, pour des motifs importants d'intérêt public,
fixer expressément des limites au transfert de catégories particulières de
données vers un pays tiers ou à une organisation internationale. Les États
membres devraient notifier ces dispositions à la Commission. Tout transfert vers
une organisation humanitaire internationale de données à caractère personnel
d'une personne concernée qui se trouve dans l'incapacité physique ou juridique
de donner son consentement, en vue d'accomplir une mission relevant des
conventions de Genève ou de respecter le droit humanitaire international
applicable dans les conflits armés, pourrait être considéré comme nécessaire
pour des motifs importants d'intérêt public ou parce que ce transfert est dans
l'intérêt vital de la personne concernée.
(113)
Les transferts qui peuvent être qualifiés de non répétitifs et qui ne touchent
qu'un nombre limité de personnes concernées pourraient également être autorisés
aux fins des intérêts légitimes impérieux poursuivis par le responsable du
traitement, lorsque ces intérêts prévalent sur les intérêts ou les libertés et
droits fondamentaux de la personne concernée et lorsque le responsable du
traitement a évalué toutes les circonstances entourant le transfert de données.
Le responsable du traitement devrait accorder une attention particulière à la
nature des données à caractère personnel, à la finalité et à la durée de la ou
des opérations de traitement envisagées ainsi qu'à la situation dans le pays
d'origine, le pays tiers et le pays de destination finale, et devrait prévoir
des garanties appropriées pour protéger les libertés et droits fondamentaux des
personnes physiques à l'égard du traitement de leurs données à caractère
personnel. De tels transferts ne devraient être possibles que dans les cas
résiduels dans lesquels aucun des autres motifs de transfert ne sont
applicables. À des fins de recherche scientifique ou historique ou à des fins
statistiques, il y a lieu de prendre en considération les attentes légitimes de
la société en matière de progrès des connaissances. Le responsable du traitement
devrait informer l'autorité de contrôle et la personne concernée du transfert.
(114)
En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le
caractère adéquat du niveau de protection des données dans un pays tiers, le
responsable du traitement ou le sous-traitant devrait adopter des solutions qui
garantissent aux personnes concernées des droits opposables et effectifs en ce
qui concerne le traitement de leurs données dans l'Union une fois que ces
données ont été transférées, de façon à ce que lesdites personnes continuent de
bénéficier des droits fondamentaux et des garanties.
(115)
Certains pays tiers adoptent des lois, des règlements et d'autres actes
juridiques qui visent à réglementer directement les activités de traitement
effectuées par des personnes physiques et morales qui relèvent de la compétence
des États membres. Il peut s'agir de décisions de juridictions ou d'autorités
administratives de pays tiers qui exigent d'un responsable du traitement ou d'un
sous-traitant qu'il transfère ou divulgue des données à caractère personnel, et
qui ne sont pas fondées sur un accord international, tel qu'un traité d'entraide
judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État
membre. L'application extraterritoriale de ces lois, règlements et autres actes
juridiques peut être contraire au droit international et faire obstacle à la
protection des personnes physiques garantie dans l'Union par le présent
règlement. Les transferts ne devraient être autorisés que lorsque les conditions
fixées par le présent règlement pour les transferts vers les pays tiers sont
remplies. Ce peut être le cas, entre autres, lorsque la divulgation est
nécessaire pour un motif important d'intérêt public reconnu par le droit de
l'Union ou le d'un État membre auquel le responsable du traitement est soumis.
(116)
Lorsque des données à caractère personnel franchissent les frontières
extérieures de l'Union, cela peut accroître le risque que les personnes
physiques ne puissent exercer leurs droits liés à la protection des données,
notamment pour se protéger de l'utilisation ou de la divulgation illicite de ces
informations. De même, les autorités de contrôle peuvent être confrontées à
l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les
activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer
dans le contexte transfrontalier peuvent également être freinés par les pouvoirs
insuffisants dont elles disposent en matière de prévention ou de recours, par
l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que
le manque de ressources. En conséquence, il est nécessaire de favoriser une
coopération plus étroite entre les autorités de contrôle de la protection des
données, pour les aider à échanger des informations et mener des enquêtes avec
leurs homologues internationaux. Aux fins d'élaborer des mécanismes de
coopération internationale destinés à faciliter et à mettre en place une
assistance mutuelle internationale pour faire appliquer la législation relative
à la protection des données à caractère personnel, la Commission et les
autorités de contrôle devraient échanger des informations et coopérer dans le
cadre d'activités liées à l'exercice de leurs compétences avec les autorités
compétentes dans les pays tiers, sur une base réciproque et conformément au
présent règlement.
(117)
La mise en place d'autorités de contrôle dans les États membres, habilitées à
exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément
essentiel de la protection des personnes physiques à l'égard du traitement des
données à caractère personnel. Les États membres devraient pouvoir mettre en
place plusieurs autorités de contrôle en fonction de leur structure
constitutionnelle, organisationnelle et administrative.
(118)
L'indépendance des autorités de contrôle ne devrait pas signifier que celles-ci
ne peuvent être soumises à des mécanismes de contrôle ou de suivi de leur
gestion financière ni à un contrôle juridictionnel.
(119)
Lorsqu'un État membre met en place plusieurs autorités de contrôle, il devrait
établir par la loi des dispositifs garantissant la participation effective de
ces autorités au mécanisme de contrôle de la cohérence. Il devrait en
particulier désigner l'autorité de contrôle qui sert de point de contact unique,
permettant une participation efficace de ces autorités au mécanisme, afin
d'assurer une coopération rapide et aisée avec les autres autorités de contrôle,
le comité et la Commission.
(120)
Il convient que chaque autorité de contrôle soit dotée des moyens financiers et
humains, ainsi que des locaux et des infrastructures nécessaires à la bonne
exécution de ses missions, y compris celles qui sont liées à l'assistance
mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble
de l'Union. Chaque autorité de contrôle devrait disposer d'un budget annuel
public propre, qui peut faire partie du budget global national ou d'une entité
fédérée.
(121)
Les conditions générales applicables au(x) membre(s) de l'autorité de contrôle
devraient être fixées par la loi dans chaque État membre et devraient prévoir
notamment que ces membres sont nommés, selon une procédure transparente, par le
parlement, le gouvernement ou le chef d'État de cet État membre, sur proposition
du gouvernement ou d'un membre du gouvernement, ou du parlement ou d'une chambre
du parlement, ou par un organisme indépendant qui en a été chargé en vertu du
droit d'un État membre,. Afin de garantir l'indépendance de l'autorité de
contrôle, il convient que le membre ou les membres de celle-ci agissent avec
intégrité, s'abstiennent de tout acte incompatible avec leurs fonctions et
n'exercent, pendant la durée de leur mandat, aucune activité professionnelle
incompatible, rémunérée ou non. Chaque autorité de contrôle devrait disposer de
ses propres agents, choisis par elle-même ou un organisme indépendant établi par
le droit d'un État membre, qui devraient être placés sous les ordres exclusifs
du membre ou des membres de l'autorité de contrôle.
(122)
Chaque autorité de contrôle devrait être compétente sur le territoire de l'État
membre dont elle relève pour exercer les missions et les pouvoirs dont elle est
investie conformément au présent règlement. Cela devrait couvrir, notamment, le
traitement dans le cadre d'activités menées par un établissement du responsable
du traitement ou du sous-traitant sur le territoire de l'État membre dont elle
relève, le traitement de données à caractère personnel effectué par des
autorités publiques ou des organismes privés agissant dans l'intérêt public, le
traitement affectant des personnes concernées sur le territoire de l'État membre
dont elle relève, ou encore le traitement effectué par un responsable du
traitement ou un sous-traitant qui n'est pas établi dans l'Union lorsque ce
traitement vise des personnes concernées résidant sur le territoire de l'État
membre dont elle relève. Cela devrait comprendre notamment le traitement des
réclamations introduites par les personnes concernées, la conduite d'enquêtes
sur l'application du présent règlement et la sensibilisation du public aux
risques, règles, garanties et droits liés au traitement des données à caractère
personnel.
(123)
Il y a lieu que les autorités de contrôle surveillent l'application des
dispositions en vertu du présent règlement et contribuent à ce que cette
application soit cohérente dans l'ensemble de l'Union, afin de protéger les
personnes physiques à l'égard du traitement de leurs données à caractère
personnel et de faciliter le libre flux de ces données dans le marché intérieur.
À cet effet, les autorités de contrôle devraient coopérer entre elles et avec la
Commission sans qu'un accord doive être conclu entre les États membres sur la
fourniture d'une assistance mutuelle ou sur une telle coopération.
(124)
Lorsque le traitement des données à caractère personnel a lieu dans le cadre des
activités d'un établissement d'un responsable du traitement ou d'un
sous-traitant dans l'Union et que ce responsable du traitement ou ce
sous-traitant est établi dans plusieurs États membres, ou que le traitement qui
a lieu dans le cadre des activités d'un établissement unique d'un responsable du
traitement ou d'un sous-traitant dans l'Union affecte sensiblement ou est
susceptible d'affecter sensiblement des personnes concernées dans plusieurs
États membres, l'autorité de contrôle dont relève l'établissement principal ou
l'établissement unique du responsable du traitement ou du sous-traitant devrait
faire office d'autorité chef de file. Elle devrait coopérer avec les autres
autorités concernées dans le cas où le responsable du traitement ou le
sous-traitant a un établissement sur le territoire de l'État membre dont elles
relèvent, dans le cas où les personnes concernées résidant sur le territoire
dont elles relèvent sont affectées sensiblement ou encore dans le cas où une
réclamation leur a été adressée. En outre, lorsqu'une personne concernée ne
résidant pas dans cet État membre a introduit une réclamation, l'autorité de
contrôle auprès de laquelle celle-ci a été introduite devrait également être une
autorité de contrôle concernée. Dans le cadre de ses missions liées à la
publication de lignes directrices sur toute question portant sur l'application
du présent règlement, le comité devrait pouvoir publier des lignes directrices
portant, en particulier, sur les critères à prendre en compte afin de déterminer
si le traitement en question affecte sensiblement des personnes concernées dans
plusieurs États membres et sur ce qui constitue une objection pertinente et
motivée.
(125)
L'autorité chef de file devrait être compétente pour adopter des décisions
contraignantes concernant les mesures visant à mettre en œuvre les pouvoirs qui
lui sont conférés conformément au présent règlement. En sa qualité d'autorité
chef de file, l'autorité de contrôle devrait associer de près les autorités de
contrôle concernées au processus décisionnel et assurer une coordination étroite
dans ce cadre. Lorsque qu'il est décidé de rejeter, en tout ou en partie, la
réclamation introduite par la personne concernée, cette décision devrait être
adoptée par l'autorité de contrôle auprès de laquelle la réclamation a été
introduite.
(126)
La décision devrait être adoptée conjointement par l'autorité de contrôle chef
de file et les autorités de contrôle concernées, être adressée à l'établissement
principal ou unique du responsable du traitement ou du sous-traitant et être
contraignante pour le responsable du traitement et le sous-traitant. Le
responsable du traitement ou le sous-traitant devraient prendre les mesures
nécessaires pour garantir le respect du présent règlement et l'application de la
décision notifiée par l'autorité de contrôle chef de file à l'établissement
principal du responsable du traitement ou du sous-traitant en ce qui concerne
les activités de traitement dans l'Union.
(127)
Chaque autorité de contrôle qui ne fait pas office d'autorité de contrôle chef
de file devrait être compétente pour traiter les cas de portée locale lorsque le
responsable du traitement ou le sous-traitant est établi dans plusieurs États
membres mais que l'objet du traitement spécifique ne se rapporte qu'à un
traitement effectué dans un seul État membre et ne porte que sur des personnes
concernées de ce seul État membre, par exemple lorsqu'il s'agit de traiter des
données à caractère personnel relatives à des employés dans le contexte des
relations de travail propre à un État membre. Dans ces cas, l'autorité de
contrôle devrait informer sans tarder l'autorité de contrôle chef de file de la
question. Après avoir été informée, l'autorité de contrôle chef de file devrait
décider si elle traitera le cas en vertu de la disposition relative à la
coopération entre l'autorité de contrôle chef de file et les autres autorités de
contrôle concernées (ci-après dénommé «mécanisme de guichet unique»), ou si
l'autorité de contrôle qui l'a informée devrait traiter le cas au niveau local.
Lorsqu'elle décide si elle traitera le cas, l'autorité de contrôle chef de file
devrait considérer s'il existe un établissement du responsable du traitement ou
du sous-traitant dans l'État membre dont relève l'autorité de contrôle qui l'a
informée, afin d'assurer l'exécution effective d'une décision à l'égard du
responsable du traitement ou du sous-traitant. Lorsque l'autorité de contrôle
chef de file décide de traiter le cas, l'autorité de contrôle qui l'a informée
devrait avoir la possibilité de soumettre un projet de décision, dont l'autorité
de contrôle chef de file devrait tenir le plus grand compte lorsqu'elle élabore
son projet de décision dans le cadre de ce mécanisme de guichet unique.
(128)
Les règles relatives à l'autorité de contrôle chef de file et au mécanisme de
guichet unique ne devraient pas s'appliquer lorsque le traitement est effectué
par des autorités publiques ou des organismes privés dans l'intérêt public. Dans
ce cas, la seule autorité de contrôle compétente pour exercer les pouvoirs qui
lui sont conférés conformément au présent règlement devrait être l'autorité de
contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé
est établi.
(129)
Afin de veiller à faire appliquer le présent règlement et à contrôler son
application de manière cohérente dans l'ensemble de l'Union, les autorités de
contrôle devraient avoir, dans chaque État membre, les mêmes missions et les
mêmes pouvoirs effectifs, y compris les pouvoirs d'enquête, le pouvoir d'adopter
des mesures correctrices et d'infliger des sanctions, ainsi que le pouvoir
d'autoriser et d'émettre des avis consultatifs, notamment en cas de réclamation
introduite par des personnes physiques, et, sans préjudice des pouvoirs des
autorités chargées des poursuites en vertu du droit d'un État membre, le pouvoir
de porter les violations du présent règlement à l'attention des autorités
judiciaires et d'ester en justice. Ces pouvoirs devraient également inclure
celui d'imposer une limitation temporaire ou définitive au traitement, y compris
une interdiction. Les États membres peuvent préciser d'autres missions liées à
la protection des données à caractère personnel en application du présent
règlement. Les pouvoirs des autorités de contrôle devraient être exercés
conformément aux garanties procédurales appropriées prévues par le droit de
l'Union et le droit des État membres, d'une manière impartiale et équitable et
dans un délai raisonnable. Toute mesure devrait notamment être appropriée,
nécessaire et proportionnée en vue de garantir le respect du présent règlement,
compte tenu des circonstances de l'espèce, respecter le droit de chacun à être
entendu avant que soit prise toute mesure individuelle susceptible de lui porter
atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour
les personnes concernées. Les pouvoirs d'enquête en ce qui concerne l'accès aux
installations devraient être exercés conformément aux exigences spécifiques du
droit procédural des États membres, telle que l'obligation d'obtenir une
autorisation judiciaire préalable. Toute mesure juridiquement contraignante
prise par l'autorité de contrôle devrait être présentée par écrit, être claire
et dénuée d'ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et
à quelle date, porter la signature du chef ou d'un membre de l'autorité de
contrôle qu'il a autorisé, exposer les motifs qui sous-tendent la mesure et
mentionner le droit à un recours effectif. Cela ne devrait pas exclure des
exigences supplémentaires prévues par le droit procédural des États membres. Si
une décision juridiquement contraignante est adoptée, elle peut donner lieu à un
contrôle juridictionnel dans l'État membre dont relève l'autorité de contrôle
qui l'a adoptée.
(130)
Lorsque l'autorité de contrôle auprès de laquelle la réclamation a été
introduite n'est pas l'autorité de contrôle chef de file, l'autorité de contrôle
chef de file devrait coopérer étroitement avec l'autorité de contrôle auprès de
laquelle la réclamation a été introduite conformément aux dispositions relatives
à la coopération et à la cohérence prévues par le présent règlement. Dans de
tels cas, l'autorité de contrôle chef de file devrait, lorsqu'elle adopte des
mesures visant à produire des effets juridiques, y compris des mesures visant à
infliger des amendes administratives, tenir le plus grand compte de l'avis de
l'autorité de contrôle auprès de laquelle la réclamation a été introduite,
laquelle devrait rester compétente pour effectuer toute enquête sur le
territoire de l'État membre dont elle relève, en liaison avec l'autorité de
contrôle chef de file.
(131)
Lorsqu'une autre autorité de contrôle devrait faire office d'autorité de
contrôle chef de file pour les activités de traitement du responsable du
traitement ou du sous-traitant mais que l'objet concret d'une réclamation ou la
violation éventuelle ne concerne que les activités de traitement du responsable
du traitement ou du sous-traitant dans l'État membre dans lequel la réclamation
a été introduite ou dans lequel la violation éventuelle a été constatée et que
la question n'affecte pas sensiblement ou n'est pas susceptible d'affecter
sensiblement des personnes concernées dans d'autres États membres, l'autorité de
contrôle qui est saisie d'une réclamation, ou qui constate des situations
susceptibles de constituer des violations du présent règlement ou qui est
informée d'une autre manière de telles situations devrait rechercher un
règlement amiable avec le responsable du traitement et, en cas d'échec, exercer
l'ensemble de ses pouvoirs. Ceci devrait comprendre: les traitements spécifiques
qui sont effectués sur le territoire de l'État membre dont relève l'autorité de
contrôle ou qui portent sur des personnes concernées se trouvant sur le
territoire de cet État membre; les traitements effectués dans le cadre d'une
offre de biens ou de services visant spécifiquement des personnes concernées se
trouvant sur le territoire de l'État membre dont relève l'autorité de contrôle;
ou encore les traitements qui doivent être évalués à l'aune des obligations
légales pertinentes prévues par le droit d'un État membre.
(132)
Les activités de sensibilisation organisées par les autorités de contrôle à
l'intention du public devraient comprendre des mesures spécifiques destinées aux
responsables du traitement et aux sous-traitants, y compris les micro, petites
et moyennes entreprises, ainsi qu'aux personnes physiques, notamment dans le
cadre éducatif.
(133)
Les autorités de contrôle devraient s'entraider dans l'accomplissement de leurs
missions et se prêter mutuellement assistance afin de faire appliquer le présent
règlement et de contrôler son application de manière cohérente dans le marché
intérieur. Une autorité de contrôle qui fait appel à l'assistance mutuelle peut
adopter une mesure provisoire si elle ne reçoit pas de réponse à sa demande
d'assistance mutuelle dans un délai d'un mois à compter de la réception de la
demande d'assistance mutuelle par l'autre autorité de contrôle.
(134)
Chaque autorité de contrôle devrait, s’il y a lieu, participer à des opérations
conjointes avec d’autres autorités de contrôle. L’autorité de contrôle requise
devrait être tenue de répondre à la demande dans un délai déterminé.
(135)
Afin de garantir l'application cohérente du présent règlement dans l'ensemble de
l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence pour
la coopération entre les autorités de contrôle. Ce mécanisme devrait notamment
s'appliquer lorsqu'une autorité de contrôle entend adopter une mesure destinée à
produire des effets juridiques en ce qui concerne des opérations de traitement
qui affectent sensiblement un nombre important de personnes concernées dans
plusieurs États membres. Il devrait également s'appliquer lorsqu'une autorité de
contrôle concernée ou la Commission demande que cette question soit traitée dans
le cadre du mécanisme de contrôle de la cohérence. Ce mécanisme devrait
s'appliquer sans préjudice des éventuelles mesures que la Commission peut
prendre dans l'exercice des compétences que lui confèrent les traités.
(136)
Dans le cadre de l'application du mécanisme de contrôle de la cohérence, le
comité devrait émettre un avis, dans un délai déterminé, si une majorité de ses
membres le décide ou s'il est saisi d'une demande en ce sens par une autorité de
contrôle concernée ou par la Commission. Le comité devrait également être
habilité à adopter des décisions juridiquement contraignantes en cas de litiges
entre autorités de contrôle. À cet effet, il devrait prendre, en principe à la
majorité des deux tiers de ses membres, des décisions juridiquement
contraignantes dans des cas clairement définis, en cas de points de vue
divergents parmi les autorités de contrôle, notamment dans le cadre du mécanisme
de coopération entre l'autorité de contrôle chef de file et les autorités de
contrôle concernées, sur le fond de l'affaire et en particulier sur la question
de savoir s'il y a ou non violation du présent règlement.
(137)
Il peut être nécessaire d'intervenir en urgence pour protéger les droits et
libertés des personnes concernées, en particulier lorsque le danger existe que
l'exercice du droit d'une personne concernée pourrait être considérablement
entravé. En conséquence, une autorité de contrôle devrait pouvoir adopter, sur
son territoire, des mesures provisoires dûment justifiées et d'une durée de
validité déterminée qui ne devrait pas excéder trois mois.
(138)
L'application d'un tel mécanisme devrait conditionner la légalité d'une mesure
destinée à produire des effets juridiques prise par une autorité de contrôle
dans les cas où cette application est obligatoire. Dans d'autres cas présentant
une dimension transfrontalière, le mécanisme de coopération entre l'autorité de
contrôle chef de file et les autorités de contrôle concernées devrait être
appliqué, et l'assistance mutuelle ainsi que des opérations conjointes
pourraient être mises en œuvre entre les autorités de contrôle concernées, sur
une base bilatérale ou multilatérale, sans faire jouer le mécanisme de contrôle
de la cohérence.
(139)
Afin de favoriser l'application cohérente du présent règlement, le comité
devrait être institué en tant qu'organe indépendant de l'Union. Pour pouvoir
atteindre ses objectifs, le comité devrait être doté de la personnalité
juridique. Il devrait être représenté par son président. Il devrait remplacer le
groupe de protection des personnes à l'égard du traitement des données à
caractère personnel institué par la directive 95/46/CE. Il devrait se composer
du chef d'une autorité de contrôle de chaque État membre et du Contrôleur
européen de la protection des données ou de leurs représentants respectifs. La
Commission devrait participer aux activités du comité sans droit de vote et le
Contrôleur européen de la protection des données devrait disposer de droits de
vote spécifiques. Le comité devrait contribuer à l'application cohérente du
présent règlement dans l'ensemble de l'Union, notamment en conseillant la
Commission, en particulier en ce qui concerne le niveau de protection dans les
pays tiers ou les organisations internationales, et en favorisant la coopération
des autorités de contrôle dans l'ensemble de l'Union. Le comité devrait
accomplir ses missions en toute indépendance.
(140)
Le comité devrait être assisté par un secrétariat assuré par le Contrôleur
européen de la protection des données. Pour s'acquitter de ses tâches, le
personnel du Contrôleur européen de la protection des données chargé des
missions que le présent règlement confie au comité ne devrait recevoir
d'instructions que du président du comité et devrait être placé sous l'autorité
de celui-ci.
(141)
Toute personne concernée devrait avoir le droit d'introduire une réclamation
auprès d'une seule autorité de contrôle, en particulier dans l'État membre où
elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel
effectif conformément à l'article 47 de la Charte si elle estime que les droits
que lui confère le présent règlement sont violés ou si l'autorité de contrôle ne
donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie,
ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les
droits de la personne concernée. L'enquête faisant suite à une réclamation
devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée
requise par le cas d'espèce. L'autorité de contrôle devrait informer la personne
concernée de l'état d'avancement et de l'issue de la réclamation dans un délai
raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination
avec une autre autorité de contrôle, des informations intermédiaires devraient
être fournies à la personne concernée. Afin de faciliter l'introduction des
réclamations, chaque autorité de contrôle devrait prendre des mesures telles que
la fourniture d'un formulaire de réclamation qui peut être également rempli par
voie électronique, sans que d'autres moyens de communication soient exclus.
(142)
Lorsqu'une personne concernée estime que les droits que lui confère le présent
règlement sont violés, elle devrait avoir le droit de mandater un organisme, une
organisation ou une association à but non lucratif, constitué conformément au
droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et
qui est actif dans le domaine de la protection des données à caractère
personnel, pour qu'il introduise une réclamation en son nom auprès d'une
autorité de contrôle, exerce le droit à un recours juridictionnel au nom de
personnes concernées ou, si cela est prévu par le droit d'un État membre, exerce
le droit d'obtenir réparation au nom de personnes concernées. Un État membre
peut prévoir que cet organisme, cette organisation ou cette association a le
droit d'introduire une réclamation dans cet État membre, indépendamment de tout
mandat confié par une personne concernée, et dispose du droit à un recours
juridictionnel effectif s'il a des raisons de considérer que les droits d'une
personne concernée ont été violés parce que le traitement des données à
caractère personnel a eu lieu en violation du présent règlement. Cet organisme,
cette organisation ou cette association ne peut pas être autorisé à réclamer
réparation pour le compte d'une personne concernée indépendamment du mandat
confié par la personne concernée.
(143)
Toute personne physique ou morale a le droit de former un recours en annulation
des décisions du comité devant la Cour de justice dans les conditions prévues à
l'article 263 du traité sur le fonctionnement de l'Union européenne. Dès lors
qu'elles reçoivent de telles décisions, les autorités de contrôle concernées qui
souhaitent les contester doivent le faire dans un délai de deux mois à compter
de la notification qui leur en a été faite, conformément à l'article 263 du
traité sur le fonctionnement de l'Union européenne. Lorsque des décisions du
comité concernent directement et individuellement un responsable du traitement,
un sous-traitant ou l'auteur de la réclamation, ces derniers peuvent former un
recours en annulation de ces décisions dans un délai de deux mois à compter de
leur publication sur le site internet du comité, conformément à l'article 263 du
traité sur le fonctionnement de l'Union européenne. Sans préjudice de ce droit
prévu à l'article 263 du traité sur le fonctionnement de l'Union européenne,
toute personne physique ou morale devrait disposer d'un recours juridictionnel
effectif, devant la juridiction nationale compétente, contre une décision d'une
autorité de contrôle qui produit des effets juridiques à son égard. Une telle
décision concerne en particulier l'exercice, par l'autorité de contrôle, de
pouvoirs d'enquête, d'adoption de mesures correctrices et d'autorisation ou le
refus ou le rejet de réclamations. Toutefois, ce droit à un recours
juridictionnel effectif ne couvre pas des mesures prises par les autorités de
contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis
ou les conseils fournis par une autorité de contrôle. Les actions contre une
autorité de contrôle devraient être portées devant les juridictions de l'État
membre sur le territoire duquel l'autorité de contrôle est établie et être
menées conformément au droit procédural de cet État membre. Ces juridictions
devraient disposer d’une compétence de pleine juridiction, ce qui devrait
comprendre la compétence pour examiner toutes les questions de fait et de droit
relatives au litige dont elles sont saisies.
Lorsqu'une réclamation a été rejetée ou refusée par une autorité de contrôle,
l'auteur de la réclamation peut intenter une action devant les juridictions de
ce même État membre. Dans le cadre des recours juridictionnels relatifs à
l'application du présent règlement, les juridictions nationales qui estiment
qu'une décision sur la question est nécessaire pour leur permettre de rendre
leur jugement peuvent ou, dans le cas prévu à l'article 267 du traité sur le
fonctionnement de l'Union européenne, doivent demander à la Cour de justice de
statuer à titre préjudiciel sur l'interprétation du droit de l'Union, y compris
le présent règlement. En outre, lorsqu'une décision d'une autorité de contrôle
mettant en œuvre une décision du comité est contestée devant une juridiction
nationale et que la validité de la décision du comité est en cause, ladite
juridiction nationale n'est pas habilitée à invalider la décision du comité et
doit, dans tous les cas où elle considère qu'une décision est invalide,
soumettre la question de la validité à la Cour de justice, conformément à
l'article 267 du traité sur le fonctionnement de l'Union européenne tel qu'il a
été interprété par la Cour de justice. Toutefois, une juridiction nationale peut
ne pas soumettre une question relative à la validité d'une décision du comité à
la demande d'une personne physique ou morale qui a eu la possibilité de former
un recours en annulation de cette décision, en particulier si elle était
concernée directement et individuellement par ladite décision, et ne l'a pas
fait dans le délai prévu à l'article 263 du traité sur le fonctionnement de
l'Union européenne.
(144)
Lorsqu'une juridiction saisie d'une action contre une décision prise par une
autorité de contrôle a des raisons de croire que des actions concernant le même
traitement, portant par exemple sur le même objet, effectué par le même
responsable du traitement ou le même sous-traitant, ou encore la même cause,
sont introduites devant une juridiction compétente d'un autre État membre, il
convient qu'elle contacte cette autre juridiction afin de confirmer l'existence
de telles actions connexes. Si des actions connexes sont pendantes devant une
juridiction d'un autre État membre, toute juridiction autre que celle qui a été
saisie en premier peut surseoir à statuer ou peut, à la demande de l'une des
parties, se dessaisir au profit de la juridiction saisie en premier si celle-ci
est compétente pour connaître de l'action concernée et que le droit dont elle
relève permet de regrouper de telles actions connexes. Sont réputées connexes,
les actions qui sont à ce point étroitement liées qu'il y a intérêt à les
instruire et à les juger en même temps afin d'éviter que ne soient rendues des
décisions inconciliables, issues de procédures séparées.
(145)
En ce qui concerne les actions contre un responsable du traitement ou un
sous-traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant
les juridictions des États membres dans lesquels le responsable du traitement ou
le sous-traitant dispose d'un établissement ou dans l'État membre dans lequel la
personne concernée réside, à moins que le responsable du traitement ne soit une
autorité publique d'un État membre agissant dans l'exercice de ses prérogatives
de puissance publique.
(146)
Le responsable du traitement ou le sous-traitant devrait réparer tout dommage
qu'une personne peut subir du fait d'un traitement effectué en violation du
présent règlement. Le responsable du traitement ou le sous-traitant devrait être
exonéré de sa responsabilité s'il prouve que le dommage ne lui est nullement
imputable. La notion de dommage devrait être interprétée au sens large, à la
lumière de la jurisprudence de la Cour de justice, d'une manière qui tienne
pleinement compte des objectifs du présent règlement. Cela est sans préjudice de
toute action en dommages-intérêts fondée sur une infraction à d'autres règles du
droit de l'Union ou du droit d'un État membre. Un traitement effectué en
violation du présent règlement comprend aussi un traitement effectué en
violation des actes délégués et d'exécution adoptés conformément au présent
règlement et au droit d'un État membre précisant les règles du présent
règlement. Les personnes concernées devraient recevoir une réparation complète
et effective pour le dommage subi. Lorsque des responsables du traitement ou des
sous-traitants participent à un même traitement, chaque responsable du
traitement ou chaque sous-traitant devrait être tenu responsable pour la
totalité du dommage. Toutefois, lorsque des responsables du traitement et des
sous-traitants sont concernés par la même procédure judiciaire, conformément au
droit d'un État membre, la réparation peut être répartie en fonction de la part
de responsabilité de chaque responsable du traitement ou de chaque sous-traitant
dans le dommage causé par le traitement, à condition que le dommage subi par la
personne concernée soit entièrement et effectivement réparé. Tout responsable du
traitement ou tout sous-traitant qui a réparé totalement le dommage peut par la
suite introduire un recours contre d'autres responsables du traitement ou
sous-traitants ayant participé au même traitement.
(147)
Lorsque le présent règlement prévoit des règles de compétence spécifiques,
notamment en ce qui concerne les procédures relatives aux recours
juridictionnels, y compris ceux qui visent à obtenir réparation, contre un
responsable du traitement ou un sous-traitant, les règles de compétence
générales, telles que celles prévues dans le règlement (UE) no 1215/2012 du
Parlement européen et du Conseil, ne devraient pas porter préjudice à
l'application de telles règles juridictionnelles spécifiques.
(148)
Afin de renforcer l'application des règles du présent règlement, des sanctions y
compris des amendes administratives devraient être infligées pour toute
violation du présent règlement, en complément ou à la place des mesures
appropriées imposées par l'autorité de contrôle en vertu du présent règlement.
En cas de violation mineure ou si l'amende susceptible d'être imposée constitue
une charge disproportionnée pour une personne physique, un rappel à l'ordre peut
être adressé plutôt qu'une amende. Il convient toutefois de tenir dûment compte
de la nature, de la gravité et de la durée de la violation, du caractère
intentionnel de la violation et des mesures prises pour atténuer le dommage
subi, du degré de responsabilité ou de toute violation pertinente commise
précédemment, de la manière dont l'autorité de contrôle a eu connaissance de la
violation, du respect des mesures ordonnées à l'encontre du responsable du
traitement ou du sous-traitant, de l'application d'un code de conduite, et de
toute autre circonstance aggravante ou atténuante. L'application de sanctions y
compris d'amendes administratives devrait faire l'objet de garanties
procédurales appropriées conformément aux principes généraux du droit de l'Union
et de la Charte, y compris le droit à une protection juridictionnelle effective
et à une procédure régulière.
(149)
Les États membres devraient pouvoir déterminer le régime des sanctions pénales
applicables en cas de violation du présent règlement, y compris de violation des
dispositions nationales adoptées en application et dans les limites du présent
règlement. Ces sanctions pénales peuvent aussi permettre la saisie des profits
réalisés en violation du présent règlement. Toutefois, l'application de
sanctions pénales en cas de violation de ces dispositions nationales et
l'application de sanctions administratives ne devrait pas entraîner la violation
du principe ne bis in idem tel qu'il a été interprété par la Cour de justice.
(150)
Afin de renforcer et d'harmoniser les sanctions administratives applicables en
cas de violation du présent règlement, chaque autorité de contrôle devrait avoir
le pouvoir d'imposer des amendes administratives. Le présent règlement devrait
définir les violations, le montant maximal et les critères de fixation des
amendes administratives dont elles sont passibles, qui devraient être fixés par
l'autorité de contrôle compétente dans chaque cas d'espèce, en prenant en
considération toutes les caractéristiques propres à chaque cas et compte dûment
tenu, notamment, de la nature, de la gravité et de la durée de la violation et
de ses conséquences, ainsi que des mesures prises pour garantir le respect des
obligations découlant du règlement et pour prévenir ou atténuer les conséquences
de la violation. Lorsque des amendes administratives sont imposées à une
entreprise, ce terme doit, à cette fin, être compris comme une entreprise
conformément aux articles 101 et 102 du traité sur le fonctionnement de l'Union
européenne. Lorsque des amendes administratives sont imposées à des personnes
qui ne sont pas une entreprise, l'autorité de contrôle devrait tenir compte,
lorsqu'elle examine quel serait le montant approprié de l'amende, du niveau
général des revenus dans l'État membre ainsi que de la situation économique de
la personne en cause. Il peut en outre être recouru au mécanisme de contrôle de
la cohérence pour favoriser une application cohérente des amendes
administratives. Il devrait appartenir aux États membres de déterminer si et
dans quelle mesure les autorités publiques devraient faire l'objet d'amendes
administratives. L'application d'une amende administrative ou le fait de donner
un avertissement ne portent pas atteinte à l'exercice d'autres pouvoirs des
autorités de contrôle ou à l'application d'autres sanctions en vertu du présent
règlement.
(151)
Les systèmes juridiques du Danemark et de l'Estonie ne permettent pas d'imposer
des amendes administratives comme le prévoit le présent règlement. Les règles
relatives aux amendes administratives peuvent être appliquées de telle sorte
que, au Danemark, l'amende est imposée par les juridictions nationales
compétentes sous la forme d'une sanction
SANCTION
À l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions
du RGPD ou de la loi de la part des responsables de traitement et des
sous-traitants, la formation restreinte de la CNIL ou son président peuvent
prononcer des sanctions ...> En savoir plus
pénale et en Estonie, l'amende est imposée par l'autorité de contrôle dans le
cadre d'une procédure de délit, à condition qu'une telle application des règles
dans ces États membres ait un effet équivalent aux amendes administratives
imposées par les autorités de contrôle. C'est pourquoi les juridictions
nationales compétentes devraient tenir compte de la recommandation formulée par
l'autorité de contrôle qui est à l'origine de l'amende. En tout état de cause,
les amendes imposées devraient être effectives, proportionnées et dissuasives.
(152)
Lorsque le présent règlement n'harmonise pas les sanctions administratives ou,
si nécessaire dans d'autres circonstances, par exemple en cas de violation grave
du présent règlement, les États membres devraient mettre en œuvre un système qui
prévoit des sanctions effectives, proportionnées et dissuasives. La nature de
ces sanctions, pénales ou administratives, devrait être déterminée par le droit
des États membres.
(153)
Le droit des États membres devrait concilier les règles régissant la liberté
d'expression et d'information, y compris l'expression journalistique,
universitaire, artistique ou littéraire, et le droit à la protection des données
à caractère personnel en vertu du présent règlement. Dans le cadre du traitement
de données à caractère personnel uniquement à des fins journalistiques ou à des
fins d'expression universitaire, artistique ou littéraire, il y a lieu de
prévoir des dérogations ou des exemptions à certaines dispositions du présent
règlement si cela est nécessaire pour concilier le droit à la protection des
données à caractère personnel et le droit à la liberté d'expression et
d'information, consacré par l'article 11 de la Charte. Tel devrait notamment
être le cas des traitements de données à caractère personnel dans le domaine de
l'audiovisuel et dans les documents d'archives d'actualités et bibliothèques de
la presse. En conséquence, les États membres devraient adopter des dispositions
législatives qui fixent les exemptions et dérogations nécessaires aux fins
d'assurer un équilibre entre ces droits fondamentaux. Les États membres
devraient adopter de telles exemptions et dérogations en ce qui concerne les
principes généraux, les droits de la personne concernée, le responsable du
traitement et le sous-traitant, le transfert de données à caractère personnel
vers des pays tiers ou à des organisations internationales, les autorités de
contrôle indépendantes, la coopération et la cohérence, ainsi que les situations
particulières de traitement des données. Lorsque ces exemptions ou dérogations
diffèrent d'un État membre à l'autre, le droit de l'État membre dont relève le
responsable du traitement devrait s'appliquer. Pour tenir compte de l'importance
du droit à la liberté d'expression dans toute société démocratique, il y a lieu
de retenir une interprétation large des notions liées à cette liberté, telles
que le journalisme.
(154)
Le présent règlement permet de prendre en compte, dans son application, le
principe de l'accès du public aux documents officiels. L'accès du public aux
documents officiels peut être considéré comme étant dans l'intérêt public. Les
données à caractère personnel figurant dans des documents détenus par une
autorité publique ou un organisme public devraient pouvoir être rendues
publiques par ladite autorité ou ledit organisme si cette communication est
prévue par le droit de l'Union ou le droit de l'État membre dont relève
l'autorité publique ou l'organisme public. Ces dispositions légales devraient
concilier l'accès du public aux documents officiels et la réutilisation des
informations du secteur public, d'une part, et le droit à la protection des
données à caractère personnel, d'autre part, et peuvent dès lors prévoir la
conciliation nécessaire avec le droit à la protection des données à caractère
personnel en vertu du présent règlement. Dans ce contexte, il convient
d'entendre par «autorités publiques et organismes publics», toutes les autorités
ou autres organismes relevant du droit d'un État membre en matière d'accès du
public aux documents. La directive 2003/98/CE du Parlement européen et du
Conseil laisse intact et n'affecte en rien le niveau de protection des personnes
physiques à l'égard du traitement des données à caractère personnel garanti par
les dispositions du droit de l'Union et du droit des États membres et, en
particulier, ne modifie en rien les droits et obligations prévus dans le présent
règlement. En particulier, ladite directive ne devrait pas s'appliquer aux
documents dont l'accès est exclu ou limité en application de règles d'accès pour
des motifs de protection des données à caractère personnel, et aux parties de
documents accessibles en vertu desdites règles qui contiennent des données à
caractère personnel dont la réutilisation a été prévue par la loi comme étant
incompatible avec la législation concernant la protection des personnes
physiques à l'égard du traitement des données à caractère personnel.
(155)
Le droit des États membres ou des conventions collectives, y compris des
«accords d'entreprise» peuvent prévoir des règles spécifiques relatives au
traitement des données à caractère personnel des employés dans le cadre des
relations de travail, notamment les conditions dans lesquelles les données à
caractère personnel dans le cadre des relations de travail peuvent être traitées
sur la base du consentement de l'employé, aux fins du recrutement, de
l'exécution du contrat de travail, y compris le respect des obligations fixées
par la loi ou par des conventions collectives, de la gestion, de la
planification et de l'organisation du travail, de l'égalité et de la diversité
sur le lieu de travail, de la santé et de la sécurité au travail, et aux fins de
l'exercice et de la jouissance des droits et des avantages liés à l'emploi,
individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la
relation de travail.
(156)
Le traitement des données à caractère personnel à des fins archivistiques dans
l'intérêt public, à des fins de recherche scientifique ou historique ou à des
fins statistiques devrait être soumis à des garanties appropriées pour les
droits et libertés de la personne concernée, en vertu du présent règlement. Ces
garanties devraient permettre la mise en place de mesures techniques et
organisationnelles pour assurer, en particulier, le respect du principe de
minimisation
MINIMISATION
Le principe de minimisation prévoit que les données à caractère personnel
doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au
regard des finalités pour lesquelles elles sont traitées. Exemple : Collecter et
conserver le...> En savoir plus
des données. Le traitement ultérieur de données à caractère personnel à des fins
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou
historique ou à des fins statistiques doit être effectué lorsque que le
responsable du traitement a évalué s'il est possible d'atteindre ces finalités
grâce à un traitement de données qui ne permettent pas ou plus d'identifier les
personnes concernées, pour autant que des garanties appropriées existent (comme
par exemple la pseudonymisation des données). Les États membres devraient
prévoir des garanties appropriées pour le traitement de données à caractère
personnel à des fins archivistiques dans l'intérêt public, à des fins de
recherche scientifique ou historique ou à des fins statistiques. Les États
membres devraient être autorisés à prévoir, dans des conditions spécifiques et
moyennant des garanties appropriées pour les personnes concernées, des
dispositions particulières et des dérogations concernant les exigences en
matière d'information et les droits à la rectification, à l'effacement, à
l'oubli, à la limitation du traitement, à la portabilité des données et le droit
d'opposition lorsque les données à caractère personnel sont traitées à des fins
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou
historique ou à des fins statistiques. Les conditions et garanties en question
peuvent comporter des procédures spécifiques permettant aux personnes concernées
d'exercer ces droits si cela est approprié eu égard aux finalités du traitement
spécifique concerné, ainsi que des mesures techniques et organisationnelles
visant à réduire à un minimum le traitement des données à caractère personnel
conformément aux principes de proportionnalité et de nécessité. Le traitement de
données à caractère personnel à des fins scientifiques devrait également
respecter d'autres dispositions législatives pertinentes, telles que celles
relatives aux essais cliniques.
(157)
En combinant les informations issues des registres, les chercheurs peuvent
acquérir de nouvelles connaissances d'un grand intérêt en ce qui concerne des
problèmes médicaux très répandus tels que les maladies cardiovasculaires, le
cancer et la dépression. Sur la base des registres, les résultats de la
recherche peuvent être améliorés car ils s'appuient sur un échantillon plus
large de population. Dans le cadre des sciences sociales, la recherche sur la
base des registres permet aux chercheurs d'acquérir des connaissances
essentielles sur les corrélations à long terme existant entre un certain nombre
de conditions sociales telles que le chômage et l'éducation et d'autres
conditions de vie. Les résultats de la recherche obtenus à l'aide des registres
fournissent des connaissances fiables et de grande qualité qui peuvent servir de
base à l'élaboration et à la mise en œuvre d'une politique fondée sur la
connaissance, améliorer la qualité de vie d'un certain nombre de personnes et
renforcer l'efficacité des services sociaux. Pour faciliter la recherche
scientifique, les données à caractère personnel peuvent être traitées à des fins
de recherche scientifique sous réserve de conditions et de garanties appropriées
prévues dans le droit de l'Union ou le droit des États membres.
(158)
Lorsque les données à caractère personnel sont traitées à des fins
archivistiques, le présent règlement devrait également s'appliquer à ce
traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes
décédées. Les autorités publiques ou les organismes publics ou privés qui
conservent des archives dans l'intérêt public devraient être des services qui,
en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation
légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de
communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver
à titre définitif dans l'intérêt public général et d'y donner accès. Les États
membres devraient également être autorisés à prévoir un traitement ultérieur des
données à caractère personnel à des fins archivistiques, par exemple en vue de
fournir des informations précises relatives au comportement politique sous les
régimes des anciens États totalitaires, aux génocides, aux crimes contre
l'humanité, notamment l'Holocauste, ou aux crimes de guerre.
(159)
Lorsque des données à caractère personnel sont traitées à des fins de recherche
scientifique, le présent règlement devrait également s'appliquer à ce
traitement. Aux fins du présent règlement, le traitement de données à caractère
personnel à des fins de recherche scientifique devrait être interprété au sens
large et couvrir, par exemple, le développement et la démonstration de
technologies, la recherche fondamentale, la recherche appliquée et la recherche
financée par le secteur privé. Il devrait, en outre, tenir compte de l'objectif
de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le
fonctionnement de l'Union européenne, consistant à réaliser un espace européen
de la recherche. Par «fins de recherche scientifique», il convient également
d'entendre les études menées dans l'intérêt public dans le domaine de la santé
publique. Pour répondre aux spécificités du traitement de données à caractère
personnel à des fins de recherche scientifique, des conditions particulières
devraient s'appliquer, en particulier, en ce qui concerne la publication ou la
divulgation d'une autre manière de données à caractère personnel dans le cadre
de finalités de la recherche scientifique. Si le résultat de la recherche
scientifique, en particulier dans le domaine de la santé, justifie de nouvelles
mesures dans l'intérêt de la personne concernée, les règles générales du présent
règlement s'appliquent à l'égard de ces mesures.
(160)
Lorsque des données à caractère personnel sont traitées à des fins de recherche
historique, le présent règlement devrait également s'appliquer à ce traitement.
Cela devrait aussi comprendre les recherches historiques et les recherches à des
fins généalogiques, étant entendu que le présent règlement ne devrait pas
s'appliquer aux personnes décédées.
(161)
Aux fins du consentement à la participation à des activités de recherche
scientifique dans le cadre d'essais cliniques, les dispositions pertinentes du
règlement (UE) no 536/2014 du Parlement européen et du Conseil devraient
s'appliquer.
(162)
Lorsque des données à caractère personnel sont traitées à des fins statistiques,
le présent règlement devrait s'appliquer à ce traitement. Le droit de l'Union ou
le droit des États membres devrait, dans les limites du présent règlement,
déterminer le contenu statistique, définir le contrôle de l'accès aux données et
arrêter des dispositions particulières pour le traitement de données à caractère
personnel à des fins statistiques ainsi que des mesures appropriées pour la
sauvegarde des droits et libertés de la personne concernée et pour préserver le
secret statistique. Par «fins statistiques», on entend toute opération de
collecte et de traitement de données à caractère personnel nécessaires pour des
enquêtes statistiques ou la production de résultats statistiques. Ces résultats
statistiques peuvent en outre être utilisés à différentes fins, notamment des
fins de recherche scientifique. Les fins statistiques impliquent que le résultat
du traitement à des fins statistiques ne constitue pas des données à caractère
personnel mais des données agrégées, et que ce résultat ou ces données à
caractère personnel ne sont pas utilisés à l'appui de mesures ou de décisions
concernant une personne physique en particulier.
(163)
Les informations confidentielles que les autorités statistiques de l'Union et
des États membres recueillent pour élaborer des statistiques officielles
européennes et nationales devraient être protégées. Les statistiques européennes
devraient être mises au point, élaborées et diffusées conformément aux principes
statistiques énoncés à l'article 338, paragraphe 2, du traité sur le
fonctionnement de l'Union européenne, et les statistiques nationales devraient
également respecter le droit des États membres. Le règlement (CE) no 223/2009 du
Parlement européen et du Conseil contient d'autres dispositions particulières
relatives aux statistiques européennes couvertes par le secret.
(164)
En ce qui concerne les pouvoirs qu'ont les autorités de contrôle d'obtenir du
responsable du traitement ou du sous-traitant l'accès aux données à caractère
personnel et l'accès à leurs locaux, les États membres peuvent adopter par la
loi, dans les limites du présent règlement, des règles spécifiques visant à
garantir l'obligation de secret professionnel ou d'autres obligations de secret
équivalentes, dans la mesure où cela est nécessaire pour concilier le droit à la
protection des données à caractère personnel et l'obligation de secret
professionnel. Cela s'entend sans préjudice des obligations existantes incombant
aux États membres en matière d'adoption de règles relatives au secret
professionnel lorsque le droit de l'Union l'impose.
(165)
Le présent règlement respecte et ne porte pas préjudice au statut dont
bénéficient, en vertu du droit constitutionnel en vigueur, les églises et les
associations ou communautés religieuses dans les États membres, tel qu'il est
reconnu par l'article 17 du traité sur le fonctionnement de l'Union européenne.
(166)
Afin de remplir les objectifs du présent règlement, à savoir protéger les
libertés et droits fondamentaux des personnes physiques, et en particulier leur
droit à la protection des données à caractère personnel, et garantir la libre
circulation de ces données au sein de l'Union, il convient de déléguer à la
Commission le pouvoir d'adopter des actes conformément à l'article 290 du traité
sur le fonctionnement de l'Union européenne. En particulier, des actes délégués
devraient être adoptés en ce qui concerne les critères et exigences applicables
aux mécanismes de certification, les informations à présenter sous la forme
d'icônes normalisées ainsi que les procédures régissant la fourniture de ces
icônes. Il importe particulièrement que la Commission procède aux consultations
appropriées durant son travail préparatoire, y compris au niveau des experts. Il
convient que, lorsqu'elle prépare et élabore des actes délégués, la Commission
veille à ce que tous les documents pertinents soient transmis simultanément en
temps utile et de façon appropriée au Parlement européen et au Conseil.
(167)
Afin d'assurer des conditions uniformes d'exécution du présent règlement, il
convient de conférer des compétences d'exécution à la Commission lorsque le
présent règlement le prévoit. Ces compétences devraient être exercées en
conformité avec le règlement (UE) no 182/2011. Dans ce cadre, la Commission
devrait envisager des mesures spécifiques pour les micro, petites et moyennes
entreprises.
(168)
Compte tenu de la portée générale des actes concernés, il convient d'avoir
recours à la procédure d'examen pour l'adoption d'actes d'exécution en ce qui
concerne les clauses contractuelles types entre les responsables du traitement
et les sous-traitants ainsi qu'entre les sous-traitants; des codes de conduite;
des normes techniques et des mécanismes de certification; le niveau adéquat de
protection offert par un pays tiers, un territoire ou un secteur déterminé dans
ce pays tiers, ou une organisation internationale; les clauses types de
protection; les formats et les procédures pour l'échange d'informations par voie
électronique entre responsables du traitement, sous-traitants et autorités de
contrôle en ce qui concerne les règles d'entreprise contraignantes; l'assistance
mutuelle; et les modalités de l'échange d'informations par voie électronique
entre les autorités de contrôle ainsi qu'entre les autorités de contrôle et le
comité.
(169)
La Commission devrait adopter des actes d'exécution immédiatement applicables
lorsque les éléments de preuve disponibles montrent qu'un pays tiers, un
territoire ou un secteur déterminé dans ce pays tiers, ou une organisation
internationale n'offre pas un niveau de protection adéquat et que des raisons
d'urgence impérieuses l'imposent.
(170)
Étant donné que l'objectif du présent règlement, à savoir assurer un niveau
équivalent de protection des personnes physiques et le libre flux des données à
caractère personnel dans l'ensemble de l'Union, ne peut pas être atteint de
manière suffisante par les États membres mais peut, en raison des dimensions ou
des effets de l'action, l'être mieux au niveau de l'Union, celle-ci peut prendre
des mesures, conformément au principe de subsidiarité consacré à l'article 5 du
traité sur l'Union européenne. Conformément au principe de proportionnalité tel
qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire
pour atteindre ces objectifs.
(171)
La directive 95/46/CE devrait être abrogée par le présent règlement. Les
traitements déjà en cours à la date d'application du présent règlement devraient
être mis en conformité avec celui-ci dans un délai de deux ans après son entrée
en vigueur. Lorsque le traitement est fondé sur un consentement en vertu de la
directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à
nouveau son consentement si la manière dont le consentement a été donné est
conforme aux conditions énoncées dans le présent règlement, de manière à ce que
le responsable du traitement puisse poursuivre le traitement après la date
d'application du présent règlement. Les décisions de la Commission qui ont été
adoptées et les autorisations qui ont été accordées par les autorités de
contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu'à
ce qu'elles soient modifiées, remplacées ou abrogées.
(172)
Le Contrôleur européen de la protection des données a été consulté conformément
à l'article 28, paragraphe 2, du règlement (CE) no 45/2001 et a rendu un avis le
7 mars 2012.
(173)
Le présent règlement devrait s'appliquer à tous les aspects de la protection des
libertés et droits fondamentaux à l'égard du traitement des données à caractère
personnel qui ne sont pas soumis à des obligations spécifiques ayant le même
objectif énoncées dans la directive 2002/58/CE du Parlement européen et du
Conseil, y compris les obligations incombant au responsable du traitement et les
droits des personnes physiques. Afin de clarifier la relation entre le présent
règlement et la directive 2002/58/CE, cette directive devrait être modifiée en
conséquence. Après l'adoption du présent règlement, il convient de réexaminer la
directive 2002/58/CE, notamment afin d'assurer la cohérence avec le présent
règlement,
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT :
> retour au sommaire
* #Règlement européen
* #RGPD
*
* Sommaire
* Suivant : Les lignes directrices du CEPD >
CECI PEUT ÉGALEMENT VOUS INTÉRESSER ...
Recherche clinique : la CNIL approuve le code de conduite européen de la
Fédération EUCROF
24 octobre 2024
Code de conduite
Responsable de traitement et sous-traitants, intérêt légitime, règlement
procédural : les ...
18 octobre 2024
CEPD
La CNIL a prononcé ces trois derniers mois onze nouvelles sanctions dans le
cadre de la procédure ...
08 octobre 2024
Sanction
Besoin d'aide
Commission Nationale de l’Informatique et des Libertés
Ma conformité au RGPD
* Comprendre le RGPD
* Me mettre en conformité
* Respecter les droits des personnes
* Outils spécifiques
* Services en ligne
* Questions-réponses
--------------------------------------------------------------------------------
La CNIL
* Missions
* Fonctionnement
* En Europe et dans le monde
* L'histoire de la CNIL en vidéo
* Marchés publics
* Open CNIL
* Travailler à la CNIL
Ressources
* Acteurs et secteurs
* Thématiques communes
* Enjeux numériques
* Cybersécurité
* Consultations
* Médiathèque
Textes officiels
* Cadre européen
* Cadre national
* Décisions de la CNIL
* Les décisions de la CNIL sur Légifrance
Suivez-nous
* twitter
* linkedin
* Médiathèque
* Glossaire
* Lexique FR-EN
* Besoin d'aide
* Presse
* Langue
* Fr
* En
* Gestion des cookies
* S'inscrire à la lettre d'information
Mentions légales | Données personnelles | Accessibilité : non conforme |
Informations publiques | Recrutement | Mon compte | Contact
Panneau de gestion des cookies
Fermer
Panneau de gestion des cookies
En autorisant ces services tiers, vous acceptez le dépôt et la lecture de
cookies et l'utilisation de technologies de suivi nécessaires à leur bon
fonctionnement.
Préférences pour tous les services
Tout accepter Tout refuser
* Cookies obligatoires
* Ce site utilise des cookies nécessaires à son bon fonctionnement qui ne
peuvent pas être désactivés.
* APIs
Les APIs permettent de charger des scripts : géolocalisation, moteurs de
recherche, traductions, ...
* Autre
Services visant à afficher du contenu web.
* Commentaires
Les gestionnaires de commentaires facilitent le dépôt de vos commentaires et
luttent contre le spam.
* Consentement spécifique aux services Google
Google peut utiliser vos données pour la mesure d'audience, la performance
publicitaire ou pour vous proposer des annonces personnalisées.
* Mesure d'audience
Les services de mesure d'audience permettent de générer des statistiques de
fréquentation utiles à l'amélioration du site.
* Matomo
undefined - Ce service n'a déposé aucun cookie.
En savoir plus - Voir le site officiel
Autoriser Interdire
* Régies publicitaires
Les régies publicitaires permettent de générer des revenus en commercialisant
les espaces publicitaires du site.
* Réseaux sociaux
Les réseaux sociaux permettent d'améliorer la convivialité du site et aident
à sa promotion via les partages.
* Support
Les services de support vous permettent d'entrer en contact avec l'équipe du
site et d'aider à son amélioration.
* Vidéos
Les services de partage de vidéo permettent d'enrichir le site de contenu
multimédia et augmentent sa visibilité.
* Ce site n'utilise aucun cookie nécessitant votre consentement.
undefined
Ce site utilise des cookies et vous donne le contrôle sur ceux que vous
souhaitez activer Tout accepter Tout refuser Personnaliser