Procédure : 2012/0011(COD)
Cycle de vie en séance
Cycle relatif au document : A7-0402/2013

Textes déposés :

A7-0402/2013

Débats :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Votes :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Textes adoptés :


RAPPORT     ***I
PDF 3483kWORD 3832k
22 novembre 2013
PE 501.927v02-00 A7-0402/2013

sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Commission des libertés civiles, de la justice et des affaires intérieures

Rapporteur: Jan Philipp Albrecht

AMENDEMENTS
PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
 EXPOSÉ DES MOTIFS
 AVIS de la commission de l'emploi et des affaires sociales
 AVIS de la commission de l'industrie, de la recherche et de l'énergie
 AVIS de la commission du marché intérieur et de la protection des consommateurs
 AVIS de la commission des affaires juridiques
 PROCÉDURE

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–   vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0011),

–   vu l'article 294, paragraphe 2, ainsi que l'article 16, paragraphe 2, et l'article 114, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7-0025/2012),

–   vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–   vu les avis motivés soumis, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, par la Chambre des représentants belge, le Bundesrat allemand, le Sénat français, la Chambre des députés italienne et le Parlement suédois, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,

–   vu l'avis du Comité économique et social européen du 23 mai 2012(1),

–   après consultation du Comité des régions,

–   vu l'avis du contrôleur européen de la protection des données du 7 mars 2012,

–   vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,

–   vu l'article 55 de son règlement,

–   vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et les avis de la commission de l'emploi et des affaires sociales, de la commission de l'industrie, de la recherche et de l'énergie, de la commission du marché intérieur et de la protection des consommateurs et de la commission des affaires juridiques (A7-0402/2013),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

Amendement              1

Proposition de règlement

Considérant 14

Texte proposé par la Commission

Amendement

(14) Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union; il ne couvre pas non plus le traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, qui relève du règlement (CE) n° 45/200144, ni celui qui est fait par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.

(14) Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union. Le règlement (CE) n° 45/2011 du Parlement européen et du Conseil1 est mis en conformité avec le présent règlement et appliqué conformément à celui-ci.

____________

______________

44 JO L 8 du 12.1.2001, p. 1.

1 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

Amendement  2

Proposition de règlement

Considérant 15

Texte proposé par la Commission

Amendement

(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont exclusivement personnels ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale. Elle ne devrait pas valoir non plus pour les responsables du traitement de données ou leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses ou une vente privée, qui sont exclusivement personnels, familiaux ou domestiques et sans lien aucun avec une activité professionnelle ou commerciale. Toutefois, le présent règlement devrait s'appliquer aux responsables du traitement de données et à leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

Amendement  3

Proposition de règlement

Considérant 18

Texte proposé par la Commission

Amendement

(18) Le présent règlement permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents administratifs.

(18) Le présent règlement permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents administratifs. Des données à caractère personnel contenues dans des documents en possession d'une autorité publique ou d'un organisme public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l'État membre ou de l'Union en matière d'accès du public aux documents officiels, si cela concilie le droit à la protection des données et le droit d'accès du public aux documents officiels, et si un juste équilibre est atteint pour les différents intérêts en jeu.

Amendement  4

Proposition de règlement

Considérant 20

Texte proposé par la Commission

Amendement

(20) Afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu du présent règlement, le traitement de données à caractère personnel concernant des personnes résidant dans l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes concernées, ou à l'observation de leur comportement.

(20) Afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu du présent règlement, le traitement de données à caractère personnel concernant des personnes résidant dans l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services, qu'un paiement soit exigé ou non, à ces personnes concernées, ou à leur observation. Afin de déterminer si un tel responsable du traitement offre des biens ou des services à des personnes concernées dans l'Union, il y aurait lieu d'examiner s'il apparaît que le responsable du traitement envisage d'offrir des services à des personnes concernées résidant dans un ou plusieurs États membres de l'Union.

Amendement  5

Proposition de règlement

Considérant 21

Texte proposé par la Commission

Amendement

(21) Afin de déterminer si une activité de traitement peut être considérée comme "observant le comportement" des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur l'internet au moyen de techniques de traitement de données consistant à appliquer un "profil" à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit.

(21) Afin de déterminer si une activité de traitement peut être considérée comme "observant" des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies, quelles que soient les origines des données, ou si d'autres données les concernant sont recueillies, y compris à partir de registres et d'annonces publics dans l'Union qui sont accessibles en dehors de l'Union, notamment dans l'intention d'utiliser ou en vue du recours éventuel à des techniques de traitement de données consistant à appliquer un "profil" à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit.

Amendement  6

Proposition de règlement

Considérant 23

Texte proposé par la Commission

Amendement

(23) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(23) Il y a lieu d'appliquer les principes de protection des données à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens raisonnablement susceptibles d'être mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou isoler directement ou indirectement ladite personne. Pour établir si des moyens sont raisonnablement susceptibles d'être mis en œuvre afin d'identifier une personne physique, il convient de considérer l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte à la fois des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Les principes de la protection des données ne devraient donc pas s'appliquer aux données anonymes, qui sont des informations qui ne font pas référence à une personne identifiée ou identifiable. Le présent règlement ne s'applique par conséquent pas au traitement de ces données anonymes, y compris à des fins statistiques et de recherche.

Amendement  7

Proposition de règlement

Considérant 24

Texte proposé par la Commission

Amendement

(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion («cookies») par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure.

(24) Le présent règlement devrait être applicable aux traitements impliquant des identifiants fournis par les appareils, applications, outils et protocoles, tels que des adresses IP, des témoins de connexion ("cookies") et des étiquettes d'identification par radiofréquence, à moins que ces identifiants ne fassent pas référence à une personne physique identifiée ou identifiable.

Amendement  8

Proposition de règlement

Considérant 25

Texte proposé par la Commission

Amendement

(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque qui résulte du choix de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel. Un acte non équivoque de la personne concernée pourrait consister à cocher une case lorsqu'elle consulte un site internet ou en toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite, donné par la simple utilisation d'un service, ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé.

Amendement  9

Proposition de règlement

Considérant 29

Texte proposé par la Commission

Amendement

(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant.

(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Lorsque le traitement des données repose sur le consentement de la personne concernée s'agissant de l'offre directe de biens ou de services aux enfants, le consentement devrait être donné ou autorisé par un parent de l'enfant ou par un représentant légal lorsque l'enfant a moins de 13 ans. Lorsque le public visé est constitué d'enfants, il convient d'utiliser des termes adaptés à leur âge. D'autres fondements donnant lieu à un traitement licite, tels que l'intérêt public, devraient demeurer applicables, par exemple pour le traitement dans le contexte de services de prévention ou de conseil fournis directement à un enfant.

Amendement  10

Proposition de règlement

Considérant 31

Texte proposé par la Commission

Amendement

(31) Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement.

(31) Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. Dans le cas d'un enfant ou d'une personne n'ayant pas la capacité juridique, le droit pertinent de l'Union ou d'un État membre devrait déterminer les conditions dans lesquelles le consentement est donné ou autorisé par cette personne.

Amendement  11

Proposition de règlement

Considérant 32

Texte proposé par la Commission

Amendement

(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d'une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause.

(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d'une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. Afin de respecter le principe de la réduction au minimum des données, la charge de la preuve ne devrait pas être entendue comme exigeant l'identification formelle des personnes concernées, sauf en cas de nécessité. À l'image des termes de droit civil (voir par exemple la directive 93/13/CEE1), les politiques en matière de protection des données devraient être aussi claires et transparentes que possible. Elles ne doivent pas comporter de clauses cachées ou désavantageuses. Le consentement ne peut être donné pour le traitement de données à caractère personnel concernant des tiers.

 

Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

Amendement  12

Proposition de règlement

Considérant 33

Texte proposé par la Commission

Amendement

(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice.

(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. Tel est particulièrement le cas lorsque le responsable du traitement est une autorité publique qui peut, en vertu de ses prérogatives de puissance publique, imposer une obligation et que le consentement ne peut être réputé librement consenti. L'utilisation d'options par défaut que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées, n'est pas l'expression d'un libre consentement. Le consentement au traitement de données à caractère personnel complémentaires qui ne sont pas nécessaires pour la fourniture d'un service ne devrait pas être requis pour l'utilisation de ce service. Le retrait du consentement peut permettre la cessation ou l'inexécution du service qui dépend des données. Lorsque la réalisation de la finalité prévue ne peut pas être clairement déterminée, le responsable du traitement devrait, à intervalles réguliers, fournir à la personne concernée des informations sur le traitement et lui demander de donner à nouveau son consentement.

Amendement  13

Proposition de règlement

Considérant 34

Texte proposé par la Commission

Amendement

(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée.

supprimé

Amendement  14

Proposition de règlement

Considérant 36

Texte proposé par la Commission

Amendement

(36) Lorsque le traitement est réalisé conformément à une obligation légale à laquelle est soumis le responsable du traitement, ou lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir son fondement juridique dans le droit de l'Union ou dans une loi nationale respectant les conditions imposées par la charte des droits fondamentaux de l'Union européenne pour toute limitation des droits et des libertés. Il appartient également au droit de l'Union ou à la loi nationale de déterminer si le responsable du traitement investi d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne physique ou morale de droit public, ou de droit privé telle qu'une association professionnelle.

(36) Lorsque le traitement est réalisé conformément à une obligation légale à laquelle est soumis le responsable du traitement, ou lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir son fondement juridique dans le droit de l'Union ou dans une loi nationale respectant les conditions imposées par la charte des droits fondamentaux de l'Union européenne pour toute limitation des droits et des libertés. Cela devrait également inclure les conventions collectives qui pourraient être reconnues en droit national comme étant d'applicabilité générale. Il appartient également au droit de l'Union ou à la loi nationale de déterminer si le responsable du traitement investi d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne physique ou morale de droit public, ou de droit privé telle qu'une association professionnelle.

Amendement  15

Proposition de règlement

Considérant 38

Texte proposé par la Commission

Amendement

(38) Les intérêts légitimes du responsable du traitement peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission.

(38) Les intérêts légitimes du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, peuvent constituer un fondement juridique au traitement à condition qu'ils satisfassent les attentes raisonnables de la personne concernée en ce qui concerne sa relation avec le responsable du traitement et que ne prévalent pas les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. À moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement se limitant aux données pseudonymes est présumé répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Les intérêts et droits fondamentaux de la personne concernée pourraient en particulier l'emporter sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne peuvent raisonnablement s'attendre à un traitement ultérieur. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission.

Amendement  16

Proposition de règlement

Considérant 39

Texte proposé par la Commission

Amendement

(39) Le traitement des données relatives au trafic, dans la mesure strictement nécessaire à la finalité de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par les pouvoirs publics, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), des fournisseurs de réseaux ou de services de communications électroniques, par des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable des données. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.

(39) Le traitement des données relatives au trafic, dans la mesure strictement nécessaire et proportionnelle à la finalité de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, ainsi que la sécurité des services connexes offerts par ces réseaux et systèmes, par les pouvoirs publics, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), des fournisseurs de réseaux ou de services de communications électroniques, par des fournisseurs de technologies et services de sécurité constitue un intérêt légitime du responsable des données. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par "déni de service" et des dommages touchant les systèmes de communications informatiques et électroniques. Ce principe s'applique également au traitement de données à caractère personnel en vue de restreindre l'accès et le recours abusifs à des réseaux ou à des systèmes d'information accessibles au public, comme l'inscription sur une liste noire des identifiants électroniques.

Amendement  17

Proposition de règlement

Considérant 39 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(39 bis) À moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, la prévention ou la limitation des préjudices pour le responsable du traitement devrait être présumée répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe s'applique à l'exercice des droits en justice contre une personne concernée, notamment en cas de recouvrement de dettes ou de préjudices et de mesures au civil.

Amendement  18

Proposition de règlement

Considérant 39 ter (nouveau)

Texte proposé par la Commission

Amendement

 

(39 ter) À moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement de données à caractère personnel à des fins de commercialisation directe pour ses propres produits et services similaires ou à des fins de commercialisation directe par courrier devrait être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement, à condition que des informations pleinement visibles aient été communiquées en ce qui concerne le droit d'opposition et la source des données à caractère personnel. Le traitement de coordonnées commerciales devrait de manière générale être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données ont été divulguées, et répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe devrait s'appliquer au traitement de données à caractère personnel manifestement rendues publiques par la personne concernée.

Amendement  19

Proposition de règlement

Considérant 40

Texte proposé par la Commission

Amendement

(40) Le traitement des données à caractère personnel à d'autres fins ne devrait être autorisé que s'il est compatible avec les finalités de la collecte initiale des données, notamment lorsque le traitement est nécessaire à des fins statistiques ou de recherche historique ou scientifique. Lorsque cette autre finalité n'est pas compatible avec la finalité initiale de la collecte des données, il convient que le responsable du traitement obtienne le consentement de la personne concernée à cette autre finalité ou qu'il fonde le traitement sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la législation de l'État membre dont relève le responsable des données le prévoit. En tout état de cause, l'application des principes énoncés par le présent règlement et, en particulier, de respecter l'obligation d'informer la personne concernée au sujet de ces autres finalités devrait être assurée.

supprimé

Amendement  20

Proposition de règlement

Considérant 41

Texte proposé par la Commission

Amendement

(41) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que la personne concernée n'y consente expressément. Toutefois, des dérogations à cette interdiction devraient être expressément prévues pour tenir compte de besoins spécifiques, en particulier lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l'exercice des libertés fondamentales.

supprimé

Amendement  21

Proposition de règlement

Considérant 42

Texte proposé par la Commission

Amendement

(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de remboursement et de services dans le régime d'assurance-maladie, ou à des fins statistiques ou de recherche historique ou scientifique.

(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de remboursement et de services dans le régime d'assurance-maladie, à des fins statistiques et de recherche historique et scientifique, ou pour des services d'archive.

Amendement  22

Proposition de règlement

Considérant 45

Texte proposé par la Commission

Amendement

(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche.

(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. Si la personne concernée est en mesure de fournir ces données, les responsables du traitement ne devraient pas pouvoir invoquer un manque d'information pour rejeter une demande d'accès

Amendement  23

Proposition de règlement

Considérant 47

Texte proposé par la Commission

Amendement

(47) Des modalités devraient être prévues pour faciliter l'exercice, par la personne concernée, des droits qui lui sont conférés par le présent règlement, notamment les moyens de demander sans frais l'accès aux données, leur rectification ou leur effacement, et d'exercer son droit d'opposition. Le responsable du traitement devrait être tenu de répondre à la personne concernée dans un délai donné et de motiver tout refus.

(47) Des modalités devraient être prévues pour faciliter l'exercice, par la personne concernée, des droits qui lui sont conférés par le présent règlement, notamment les moyens d'obtenir sans frais l'accès aux données, leur rectification ou leur effacement, et d'exercer son droit d'opposition. Le responsable du traitement devrait être tenu de répondre à la personne concernée dans un délai raisonnable et de motiver tout refus.

Amendement  24

Proposition de règlement

Considérant 48

Texte proposé par la Commission

Amendement

(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas.

(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée probable pendant laquelle les données seront conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers, de l'existence de mesures permettant l'opposition ou d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. Ces informations devraient être communiquées à la personne concernée après que des informations simplifiées lui aient été fournies sous la forme d'icônes normalisées, ce qui peut également signifier qu'elle doit pouvoir y accéder facilement. Cela devrait également signifier que les données à caractère personnel sont traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits.

Amendement  25

Proposition de règlement

Considérant 50

Texte proposé par la Commission

Amendement

(50) Toutefois, il n'est pas nécessaire d'imposer cette obligation si la personne concernée dispose déjà de cette information, ou si l'enregistrement ou la divulgation des données sont expressément prévus par la loi, ou si l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés. Tel pourrait être le cas, en particulier, des traitements à des fins statistiques ou de recherche historique ou scientifique; à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices éventuelles adoptées.

(50) Toutefois, il n'est pas nécessaire d'imposer cette obligation si la personne concernée connaît déjà cette information, ou si l'enregistrement ou la divulgation des données sont expressément prévus par la loi, ou si l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés.

Amendement  26

Proposition de règlement

Considérant 51

Texte proposé par la Commission

Amendement

(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée.

(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée estimée de leur conservation, l'identité des destinataires, la logique générale qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, concernant par exemple le droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée.

Amendement  27

Proposition de règlement

Considérant 53

Texte proposé par la Commission

Amendement

(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un «droit à l'oubli numérique» lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer.

(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un "droit à l'effacement" lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. De la même manière, le droit à l'effacement ne devrait pas s'appliquer lorsque la conservation de données à caractère personnel est nécessaire pour l'exécution d'un contrat avec la personne concernée, ou lorsqu'il existe une obligation juridique de conserver ces données.

Amendement  28

Proposition de règlement

Considérant 54

Texte proposé par la Commission

Amendement

(54) Afin de renforcer le «droit à l'oubli numérique» dans l'environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données, ou toute copie ou reproduction de celles-ci. Afin d'assurer cette information, le responsable des données devrait prendre toutes les mesures raisonnables, y compris les mesures techniques, à l'égard des données dont la publication lui est imputable. En ce qui concerne la responsabilité de la publication de données à caractère personnel par un tiers, elle devrait être imputée au responsable du traitement lorsqu'il a lui-même autorisé le tiers à l'effectuer.

(54) Afin de renforcer le "droit à l'effacement" dans l'environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques sans motif légal soit tenu de prendre toutes les mesures nécessaires pour procéder à l'effacement de ces données, y compris pas des tiers, sans préjudice du droit de la personne concernée à demander réparation.

Amendement  29

Proposition de règlement

Considérant 54 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(54 bis) Les données contestées par l'intéressé, dont l'exactitude ou l'inexactitude ne peut être constatée, devraient être verrouillées jusqu'à ce que la question soit résolue.

Amendement  30

Proposition de règlement

Considérant 55

Texte proposé par la Commission

Amendement

(55) Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d'accès, les personnes devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l'exécution d'un contrat.

(55) Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d'accès, les personnes devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Il y a lieu d'inciter les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l'exécution d'un contrat. Les fournisseurs de services de la société de l'information ne devraient pas conditionner la fourniture de leurs services au transfert de ces données.

Amendement  31

Proposition de règlement

Considérant 56

Texte proposé par la Commission

Amendement

(56) Dans les cas où des données à caractère personnel pourraient faire l'objet d'un traitement licite afin de protéger les intérêts vitaux de la personne concernée, ou pour un motif d'intérêt général, à l'exercice de l'autorité publique ou à la poursuite des intérêts légitimes du responsable du traitement, toute personne concernée devrait néanmoins avoir le droit de s'opposer au traitement de toute donnée la concernant. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

(56) Dans les cas où des données à caractère personnel pourraient faire l'objet d'un traitement licite afin de protéger les intérêts vitaux de la personne concernée, ou pour un motif d'intérêt général, à l'exercice de l'autorité publique ou à la poursuite des intérêts légitimes du responsable du traitement, toute personne concernée devrait néanmoins avoir le droit de s'opposer au traitement de toute donnée la concernant sans frais et d'une manière simple et effective. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Amendement  32

Proposition de règlement

Considérant 57

Texte proposé par la Commission

Amendement

(57) Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée devrait avoir le droit de s'opposer à ce traitement, sans frais et d'une manière simple et effective.

(57) Lorsque la personne concernée a le droit de s'opposer au traitement, le responsable du traitement devrait le proposer explicitement à la personne concernée d'une manière et sous une forme intelligible, en des termes clairs et simples, et devrait clairement distinguer ce droit des autres informations.

Amendement  33

Proposition de règlement

Considérant 58

Texte proposé par la Commission

Amendement

(58) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur le profilage par traitement automatisé. Toutefois, de telles mesures devraient être permises lorsqu'elles sont expressément autorisées par la loi, appliquées dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention humaine, et cette mesure ne devrait pas concerner les enfants.

(58) Sans préjudice de la licéité du traitement des données, toute personne physique devrait avoir le droit de s'opposer au profilage. Le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, droits ou libertés ne devrait être permis que lorsqu'il est expressément autorisé par la loi, appliqué dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une appréciation humaine, et cette mesure ne devrait pas concerner les enfants. Ces mesures ne devraient pas entraîner de discrimination à l'encontre de personnes sur la base de leur origine raciale ou ethnique, de leurs opinions politiques, de leur religion ou croyances, de leur appartenance syndicale, de leur orientation sexuelle ou de leur identité de genre.

Amendement  34

Proposition de règlement

Considérant 58 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(58 bis) Le profilage fondé uniquement sur le traitement de données pseudonymes devrait être présumé ne pas affecter de manière significative les intérêts, droits ou libertés de la personne concernée. Lorsque le profilage, qu'il repose sur une source unique de donnée pseudonymes ou sur l'agrégation de données pseudonymes issues de différentes sources, permet au responsable du traitement d'attribuer des données pseudonymes à une personne concernée donnée, les données traitées ne devraient plus être considérées comme pseudonymes.

Amendement  35

Proposition de règlement

Considérant 59

Texte proposé par la Commission

Amendement

(59) Des limitations des principes spécifiques et du droit à l'information, du droit d'accès, de rectification et d'effacement, ou du droit à la portabilité des données, du droit d'opposition, des mesures fondées sur le profilage, ainsi que de la communication d'une violation des données à caractère personnel à une personne concernée, et des limitations de certaines obligations connexes des responsables du traitement des données peuvent être imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique, pour garantir la sécurité publique, notamment aux fins de la protection de la vie humaine en cas, plus particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la prévention, de l'investigation et de la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées, aux fins d'autres intérêts publics, y compris d'un intérêt économique ou financier important de l'Union ou d'un État membre, ou aux fins de la protection de la personne concernée ou des droits ou libertés de tiers. Ces limitations doivent être conformes aux exigences énoncées par la charte des droits fondamentaux de l'Union européenne et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

(59) Des limitations des principes spécifiques et du droit à l'information, du droit de rectification et d'effacement ou du droit à consulter ou obtenir des données, du droit d'opposition, du profilage, ainsi que de la communication d'une violation des données à caractère personnel à une personne concernée, et des limitations de certaines obligations connexes des responsables du traitement des données peuvent être imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique, pour garantir la sécurité publique, notamment aux fins de la protection de la vie humaine en cas, plus particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la prévention, de l'investigation et de la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées, aux fins d'autres intérêts publics spécifiques et clairement définis, y compris d'un intérêt économique ou financier important de l'Union ou d'un État membre, ou aux fins de la protection de la personne concernée ou des droits ou libertés de tiers. Ces limitations doivent être conformes aux exigences énoncées par la charte des droits fondamentaux de l'Union européenne et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Amendement  36

Proposition de règlement

Considérant 60

Texte proposé par la Commission

Amendement

(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve.

(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte, en particulier en ce qui concerne la documentation, la sécurité des données, les analyses d'impact, le délégué à la protection des données et le contrôle par les autorités de protection des données. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit en mesure d'en apporter la preuve. Cela devrait être vérifié par des auditeurs indépendants internes ou externes.

Amendement  37

Proposition de règlement

Considérant 61

Texte proposé par la Commission

Amendement

(61) La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut.

(61) La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut. Le principe de la protection des données dès la conception requiert que cette protection soit intégrée dans la totalité du cycle de vie d'une technologie, dès la toute première étape de conception jusqu'à son déploiement final, son utilisation et son élimination. Cela devrait également inclure la responsabilité pour les produits et services utilisés par le responsable du traitement ou le sous-traitant. Le principe de la protection des données par défaut requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction des données au minimum et la limitation de la finalité.

Amendement  38

Proposition de règlement

Considérant 62

Texte proposé par la Commission

Amendement

(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement.

(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. L'accord entre les responsables conjoints du traitement devrait refléter leurs rôles effectifs et leurs relations. Dans le cadre du traitement de données à caractère personnel au titre du présent règlement, un responsable du traitement devrait également être autorisé à communiquer les données à un responsable conjoint ou à un sous-traitant afin qu'ils traitent les données en son nom.

Amendement  39

Proposition de règlement

Considérant 63

Texte proposé par la Commission

Amendement

(63) Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, et que les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, ou à l'observation de leur comportement, il conviendrait que le responsable du traitement désigne un représentant, à moins que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de protection adéquat, ou que le responsable ne soit une petite ou moyenne entreprise ou une autorité ou un organisme public, ou qu'il ne propose qu'occasionnellement des biens ou des services à ces personnes concernées. Le représentant devrait agir pour le compte du responsable du traitement et devrait pouvoir être contacté par toute autorité de contrôle.

(63) Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, il conviendrait que le responsable du traitement désigne un représentant, à moins que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de protection adéquat, ou que le traitement vise moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et ne concerne pas des catégories spéciales de donnes à caractère personnel, ou que le responsable du traitement ne soit une autorité ou un organisme public, ou qu'il ne propose qu'occasionnellement des biens ou des services à ces personnes concernées. Le représentant devrait agir pour le compte du responsable du traitement et devrait pouvoir être contacté par toute autorité de contrôle.

Amendement  40

Proposition de règlement

Considérant 64

Texte proposé par la Commission

Amendement

(64) Afin de déterminer si un responsable des données n'offre qu'occasionnellement des biens et des services à des personnes concernées résidant dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble de ses activités que l'offre de biens et de services à ces personnes concernées est accessoire à ses activités principales.

(64) Afin de déterminer si un responsable des données n'offre qu'occasionnellement des biens et des services à des personnes concernées dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble de ses activités que l'offre de biens et de services à ces personnes concernées est accessoire à ses activités principales.

Amendement  41

Proposition de règlement

Considérant 65

Texte proposé par la Commission

Amendement

(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait consigner chaque opération de traitement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question.

(65) Afin de pouvoir apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait tenir à jour la documentation nécessaire au respect des exigences établies dans le présent règlement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent à l'évaluation du respect du présent règlement. Néanmoins, il y a lieu d'accorder la même attention et la même importance aux bonnes pratiques et à la conformité, et pas seulement à la constitution de la documentation.

Amendement  42

Proposition de règlement

Considérant 66

Texte proposé par la Commission

Amendement

(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l'adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, la Commission devrait promouvoir la neutralité technologique, l'interopérabilité et l'innovation, et au besoin, coopérer avec les pays tiers.

(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l'adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, il convient de promouvoir la neutralité technologique, l'interopérabilité et l'innovation, et au besoin, d'encourager la coopération avec les pays tiers.

Amendement  43

Proposition de règlement

Considérant 67

Texte proposé par la Commission

Amendement

(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long.

(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, le responsable du traitement devrait informer l'autorité de contrôle de la violation sans retard injustifié, soit dans un délai inférieur à 72 heures. Le cas échéant, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long.

Amendement  44

Proposition de règlement

Considérant 71 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(71 bis) Les analyses d'impact sont l'essence même de tout cadre viable de protection des données. Elles garantissent que les entreprises soient conscientes dès le départ de toutes les conséquences possibles de leurs traitements. Des analyses d'impact approfondies permettent de limiter le risque de violation des données ou de traitements portant atteinte à la vie privée. Les analyses d'impact relatives à la protection des données devraient, dès lors, porter sur la gestion des données à caractère personnel tout au long de leur cycle de vie, depuis la collecte jusqu'au traitement et à l'effacement des données, en décrivant, en détail, les traitements envisagés, les risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour réduire ces risques, ainsi que les clauses de sauvegarde, les mesures de sécurité et les mécanismes destinés à garantir le respect du présent règlement.

Amendement  45

Proposition de règlement

Considérant 71 ter (nouveau)

Texte proposé par la Commission

Amendement

 

(71 ter) Les responsables du traitement devraient s'attacher à la protection des données à caractère personnel pendant la totalité du cycle de vie des données, depuis leur collecte jusqu'à leur suppression, en passant par le traitement, en investissant dès le départ dans un cadre viable de gestion des données et en effectuant un suivi au moyen d'un mécanisme complet de contrôle de conformité.

Amendement  46

Proposition de règlement

Considérant 73

Texte proposé par la Commission

Amendement

(73) Une autorité ou un organisme publics ne devraient réaliser une analyse d'impact relative à la protection des données que si celle-ci n'a pas été faite au moment de l'adoption de la loi nationale régissant la mission de l'autorité ou de l'organisme publics concernés ainsi que l'opération ou l'ensemble d'opérations de traitement en question.

supprimé

Amendement  47

Proposition de règlement

Considérant 74

Texte proposé par la Commission

Amendement

(74) Lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement exposent les droits et libertés des personnes concernées à un degré élevé de risques particuliers, comme priver ces personnes d'un droit, ou de par l'utilisation de certaines technologies nouvelles, l'autorité de contrôle devrait pouvoir être consultée, avant le début de l'opération, sur un traitement risqué susceptible de ne pas être conforme au présent règlement, et formuler des propositions visant à y remédier. Cette consultation devrait également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées.

(74) Lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement exposent les droits et libertés des personnes concernées à un degré élevé de risques particuliers, comme priver ces personnes d'un droit, ou de par l'utilisation de certaines technologies nouvelles, le délégué à la protection des données ou l'autorité de contrôle devraient pouvoir être consultés, avant le début de l'opération, sur un traitement risqué susceptible de ne pas être conforme au présent règlement, et formuler des propositions visant à y remédier. Une consultation de l'autorité de contrôle devrait également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées.

Amendement  48

Proposition de règlement

Considérant 74 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(74 bis) Les analyses d'impact ne peuvent être utiles que si les responsables du traitement s'assurent de respecter leurs engagements initialement décrits dans ces analyses. Les responsables du traitement devraient, dès lors, procéder, de manière périodique, à un examen de conformité concernant la protection des données, attestant que les mécanismes de traitement en place sont conformes aux engagements pris dans l'analyse d'impact relative à la protection des données. Cet examen devrait également montrer que le responsable du traitement est en mesure de respecter les choix autonomes des personnes concernées. Par ailleurs, si l'examen laisse apparaître des irrégularités, celles-ci doivent être soulignées, et il y a lieu de présenter des recommandations sur la manière d'assurer la pleine conformité.

Amendement  49

Proposition de règlement

Considérant 75

Texte proposé par la Commission

Amendement

(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il est effectué par une grande entreprise ou par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance.

(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il concerne plus de 5000 personnes sur une période de 12 mois, ou lorsqu'il est effectué par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement sur des données sensibles, ou des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Au moment de décider si des données concernant un grand nombre de personnes seront traitées, les données archivées qui sont limitées de manière à ce qu'elles ne soient pas soumises aux manipulations usuelles d'accès aux données et de traitement des données exécutées par le responsable du traitement et à ce qu'elles ne puissent plus être modifiées, ne devraient pas être prises en compte. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement et qu'ils exécutent ou non cette tâche à plein temps, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance et bénéficier d'une protection spéciale contre le licenciement. La responsabilité ultime devrait continuer d'incomber à la direction de l'organisme. Le délégué à la protection des données devrait, en particulier, être consulté préalablement à la conception, à la fourniture, au développement et à la mise en place de tout système de traitement automatique des données à caractère personnel, afin de garantir le respect des principes de protection de la vie privée dès la conception et par défaut.

Amendement  50

Proposition de règlement

Considérant 75 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(75 bis) Le délégué à la protection des données devrait posséder au moins les qualifications suivantes: une connaissance étendue du contenu et de l'application de la législation en matière de protection des données, y compris les mesures et procédures techniques et organisationnelles; la maîtrise des exigences techniques concernant la protection de la vie privée dès la conception, la protection de la vie privée par défaut et la sécurité des données; une connaissance spécifique du secteur d'activité, conformément à la taille du responsable du traitement ou du sous-traitant et au caractère sensible des données à traiter; la capacité de mener à bien des inspections, des consultations, à établir une documentation et à effectuer des analyses de fichiers; et la capacité à travailler avec des représentants des employés. Le responsable du traitement devrait permettre au délégué à la protection des données de participer à des programmes de formation avancée afin de tenir à jour les connaissances spécialisées requises dans le cadre de l'exécution de ses tâches. La désignation à la fonction de délégué à la protection des données ne nécessite pas obligatoirement un emploi à temps plein de la part du collaborateur concerné.

Amendement  51

Proposition de règlement

Considérant 76

Texte proposé par la Commission

Amendement

(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs.

(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer, après consultation des représentants des salariés, des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. De tels codes devraient simplifier le respect du présent règlement par les entreprises.

Amendement  52

Proposition de règlement

Considérant 77

Texte proposé par la Commission

Amendement

(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de marques et de labels en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de labels et de marques normalisées en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement, de manière fiable et vérifiable, le niveau de protection des données offert par les produits et services en question. Un "label européen de protection des données" devrait être établi au niveau européen afin de générer un climat de confiance chez les personnes concernées et une sécurité juridique pour les responsables du traitement et, dans le même temps, exporter les normes européennes de protection des données en permettant aux entreprises non européennes d'entrer sur les marchés européens en obtenant cette certification.

Amendement  53

Proposition de règlement

Considérant 79

Texte proposé par la Commission

Amendement

(79) Le présent règlement ne remet pas en cause les accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées.

(79) Le présent règlement ne remet pas en cause les accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées, qui garantissent un niveau de protection adéquat des droits fondamentaux des citoyens.

Amendement  54

Proposition de règlement

Considérant 80

Texte proposé par la Commission

Amendement

(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union au sujet des pays tiers ou des organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation.

(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union au sujet des pays tiers ou des organisations internationales qui sont réputés assurer un tel niveau de protection. La Commission peut également décider, après en avoir informé le pays tiers et lui avoir fourni une justification complète, de révoquer une telle décision.

Amendement  55

Proposition de règlement

Considérant 82

Texte proposé par la Commission

Amendement

(82) La Commission peut également constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale.

(82) La Commission peut également constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Toute législation prévoyant un accès extraterritorial aux données à caractère personnel traitées dans l'Union sans autorisation conformément au droit de l'Union ou d'un État membre devrait être réputée ne pas offrir un niveau adéquat de protection. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale.

Amendement  56

Proposition de règlement

Considérant 83

Texte proposé par la Commission

Amendement

(83) En l'absence de décision constatant le caractère adéquat du niveau de protection, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou d'autres mesures adaptées et proportionnées qui se justifient au regard des circonstances qui entourent une opération ou une série d'opérations de transfert de données, et dans les cas autorisés par une autorité de contrôle.

(83) En l'absence de décision constatant le caractère adéquat du niveau de protection, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci. Ces garanties appropriées devraient garantir le respect adéquat des droits des personnes concernées dans le cadre du traitement à l'intérieur de l'Union européenne, notamment en ce qui concerne la limitation de la finalité, le droit à l'accès, la rectification, l'effacement et la réparation. Ces garanties devraient en particulier assurer le respect des principes du traitement des données à caractère personnel, préserver les droits des personnes concernées et prévoir des mécanismes de recours effectifs, assurer le respect des principes de la protection des données dès la conception ainsi que par défaut et garantir l'existence d'un poste de délégué à la protection des données.

Amendement  57

Proposition de règlement

Considérant 84

Texte proposé par la Commission

Amendement

(84) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d'autres clauses, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

(84) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les clauses types de protection des données adoptées par la Commission pourraient couvrir différentes situations, à savoir les transferts effectués par des responsables du traitement établis dans l'Union vers des responsables du traitement établis en dehors de l'Union et par des responsables du traitement établis dans l'Union vers des sous-traitants, y compris des sous-traitants ultérieurs, établis en dehors de l'Union. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties encore plus solides par l'intermédiaire d'engagements contractuels supplémentaires qui viendraient compléter les clauses de protection standard.

Amendement  58

Proposition de règlement

Considérant 85

Texte proposé par la Commission

Amendement

(85) Un groupe d'entreprises devrait être autorisé à recourir à des règles d'entreprise contraignantes pour ses transferts internationaux de l'Union vers des entités du même groupe, à condition que ces règles d'entreprise incluent des principes essentiels et des droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

(85) Un groupe d'entreprises devrait être autorisé à recourir à des règles d'entreprise contraignantes pour ses transferts internationaux de l'Union vers des entités du même groupe, à condition que ces règles d'entreprise incluent l'ensemble des principes essentiels et des droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

Amendement  59

Proposition de règlement

Considérant 86

Texte proposé par la Commission

Amendement

(86) Le présent règlement devrait autoriser les transferts dans certains cas où la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des motifs importants d'intérêt général établis par le droit de l'Union ou d'un État membre l'exigent, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le transfert ne devrait toutefois pas porter sur la totalité des données ni sur des catégories entières de données contenues dans le registre et, lorsque ce dernier est destiné à être consulté par des personnes qui y ont un intérêt légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent ou si elles en sont les destinataires.

(86) Le présent règlement devrait autoriser les transferts dans certains cas où la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des motifs importants d'intérêt général établis par le droit de l'Union ou d'un État membre l'exigent, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le transfert ne devrait toutefois pas porter sur la totalité des données ni sur des catégories entières de données contenues dans le registre et, lorsque ce dernier est destiné à être consulté par des personnes qui y ont un intérêt légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent ou si elles en sont les destinataires, en tenant pleinement compte des intérêts et des droits fondamentaux de la personne concernée.

Amendement  60

Proposition de règlement

Considérant 87

Texte proposé par la Commission

Amendement

(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière.

(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, ou en cas de transfert aux autorités publiques compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière, y compris la prévention du blanchiment d'argent et la lutte contre le financement du terrorisme. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou d'une autre personne, si la personne concernée se trouve dans l'incapacité de donner son consentement. Le transfert de données à caractère personnel pour des motifs d'intérêt public aussi importants ne devrait être utilisé que de manière occasionnelle. Dans chaque cas, il convient de mener une évaluation minutieuse de toutes les circonstances du transfert.

Amendement  61

Proposition de règlement

Considérant 88

Texte proposé par la Commission

Amendement

(88) Les transferts qui ne peuvent être qualifiés de fréquents ou massifs pourraient également être autorisés aux fins de la poursuite des intérêts légitimes du responsable du traitement ou du sous-traitant, après que ces derniers ont évalué toutes les circonstances entourant le transfert. Pour les traitements à des fins historiques, statistiques et de recherche scientifique, il y aurait lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances.

(88) Pour les traitements à des fins historiques, statistiques et de recherche scientifique, il y aurait lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances.

Amendement  62

Proposition de règlement

Considérant 89

Texte proposé par la Commission

Amendement

(89) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat de la protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées qu'elles continueront de bénéficier des droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour le traitement des données les concernant, une fois que ces données auront été transférées.

(89) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat de la protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent de manière juridiquement contraignante aux personnes concernées qu'elles continueront de bénéficier des droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour le traitement des données les concernant, une fois que ces données auront été transférées, dans la mesure où le traitement n'est pas massif, répétitif et structurel. Cette garantie devrait comprendre une indemnisation en cas de perte de données, d'accès aux données ou de traitement de données non autorisés, ainsi que l'obligation, indépendamment du droit national, de fournir tous les détails de tout accès aux données par les autorités publiques d'un pays tiers.

Amendement  63

Proposition de règlement

Considérant 90

Texte proposé par la Commission

Amendement

(90) Certains pays tiers édictent des lois, des règlements et d'autres instruments législatifs qui visent à régir directement des activités de traitement des données effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres de l'Union. L'application extraterritoriale de ces lois, règlements et autres instruments législatifs peut être contraire au droit international et faire obstacle à la protection des personnes garantie dans l'Union par le présent règlement. Les transferts ne devraient donc être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt général reconnu par le droit de l'Union ou par le droit d'un État membre auquel le responsable des données est soumis. Les critères d'existence d'un motif important d'intérêt général devraient être précisés par la Commission dans un acte délégué.

(90) Certains pays tiers édictent des lois, des règlements et d'autres instruments législatifs qui visent à régir directement des activités de traitement des données effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres de l'Union. L'application extraterritoriale de ces lois, règlements et autres instruments législatifs peut être contraire au droit international et faire obstacle à la protection des personnes garantie dans l'Union par le présent règlement. Les transferts ne devraient donc être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt général reconnu par le droit de l'Union ou par le droit d'un État membre auquel le responsable des données est soumis. Les critères d'existence d'un motif important d'intérêt général devraient être précisés par la Commission dans un acte délégué. Lorsque les responsables du traitement ou les sous-traitants sont confrontés à des exigences de conformité contradictoires entre la juridiction de l'Union, d'une part, et celle d'un pays tiers, d'autre part, la Commission devrait toujours veiller à faire prévaloir la législation de l'Union. La Commission devrait fournir des orientations et une aide au responsable du traitement et au sous-traitant, et s'efforcer de résoudre le conflit de compétence juridique avec le pays tiers en question.

Amendement  64

Proposition de règlement

Considérant 92

Texte proposé par la Commission

Amendement

(92) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres ont la possibilité d'instituer plusieurs autorités de contrôle, pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative.

(92) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres ont la possibilité d'instituer plusieurs autorités de contrôle, pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Les autorités disposent des ressources financières et humaines adéquates afin de remplir pleinement leur mission, en tenant compte de la taille de la population et de la quantité de données à caractère personnel traitées.

Amendement  65

Proposition de règlement

Considérant 94

Texte proposé par la Commission

Amendement

(94) Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains, les locaux et les infrastructures nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union.

(94) Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains, en veillant tout particulièrement à ce que le personnel possède les qualifications techniques et juridiques adéquates, les locaux et les infrastructures nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union.

Amendement  66

Proposition de règlement

Considérant 95

Texte proposé par la Commission

Amendement

(95) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, et comprendre des dispositions régissant la qualification et la fonction de ces membres.

(95) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, en prenant bien soin de réduire au minimum toute possibilité d'ingérence politique, et comprendre des dispositions régissant la qualification et la fonction de ces membres, ainsi que la prévention des conflits d'intérêts.

Amendement  67

Proposition de règlement

Considérant 97

Texte proposé par la Commission

Amendement

(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants.

(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle agisse en tant que guichet unique et autorité chef de file responsable du contrôle du responsable du traitement ou du sous-traitant dans toute l'Union et prenne les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants.

Amendement  68

Proposition de règlement

Considérant 98

Texte proposé par la Commission

Amendement

(98) L'autorité compétente faisant ainsi office de guichet unique devrait être l'autorité de contrôle de l'État membre dans lequel le responsable du traitement ou le sous-traitant a son principal établissement.

(98) L'autorité chef de file faisant ainsi office de guichet unique devrait être l'autorité de contrôle de l'État membre dans lequel le responsable du traitement ou le sous-traitant a son principal établissement ou son représentant. Le comité européen de la protection des données peut, dans certains cas, désigner l'autorité chef de file par le biais du mécanisme de contrôle de la cohérence, à la demande d'une autorité compétente.

Amendement  69

Proposition de règlement

Considérant 98 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(98 bis) Les personnes concernées dont les données à caractère personnel sont traitées par un responsable du traitement ou un sous-traitant dans un autre État membre devraient pouvoir introduire une réclamation auprès de l'autorité de contrôle de leur choix. L'autorité de protection des données chef de file devrait coordonner ses travaux avec ceux des autres autorités impliquées.

Amendement  70

Proposition de règlement

Considérant 101

Texte proposé par la Commission

Amendement

(101) Chaque autorité devrait recevoir les réclamations des personnes concernées et examiner les affaires en question. L'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée.

(101) Chaque autorité devrait recevoir les réclamations des personnes concernées ou par des associations agissant dans l'intérêt général et examiner les affaires en question. L'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée ou l'organisation de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée.

Amendement  71

Proposition de règlement

Considérant 105

Texte proposé par la Commission

Amendement

(105) Afin de garantir l'application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités.

(105) Afin de garantir l'application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. En outre, les personnes concernées devraient avoir le droit d'exiger de la cohérence si elles estiment qu'une mesure mise en œuvre par l'autorité de protection des données d'un État membre ne répond pas à ce critère. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités.

Amendement            72

Proposition de règlement

Considérant 106 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(106 bis) Afin de garantir l'application cohérente du présent règlement, le comité européen de la protection des données peut, dans des cas spécifiques, adopter une décision contraignante pour les autorités de contrôle compétentes.

Amendement  73

Proposition de règlement

Considérant 107

Texte proposé par la Commission

Amendement

(107) Afin de garantir le respect du présent règlement, la Commission peut adopter un avis sur cette question, ou une décision ordonnant à l'autorité de contrôle de suspendre son projet de mesure.

supprimé

Amendement  74

Proposition de règlement

Considérant 110

Texte proposé par la Commission

Amendement

(110) Un comité européen de la protection des données devrait être créé au niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE. Il devrait se composer d'un directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données. La Commission devrait participer à ses activités. Le comité européen de la protection des données devrait contribuer à l'application cohérente du présent règlement dans toute l'Union, notamment en conseillant la Commission et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union. Il devrait exercer ses fonctions en toute indépendance.

(110) Un comité européen de la protection des données devrait être créé au niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE. Il devrait se composer d'un directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données. Le comité européen de la protection des données devrait contribuer à l'application cohérente du présent règlement dans toute l'Union, notamment en conseillant les institutions de l'Union et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, y compris la coordination des opérations conjointes. Il devrait exercer ses fonctions en toute indépendance. Le comité européen de la protection des données devrait renforcer le dialogue avec les parties intéressées telles que les associations de personnes concernées, les organisations de consommateurs, les responsables du traitement et les autres parties et experts concernés.

Amendement  75

Proposition de règlement

Considérant 111

Texte proposé par la Commission

Amendement

(111) Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours si elle estime que les droits que lui confère le présent règlement ne sont pas respectés, si l'autorité de contrôle ne réagit pas à une réclamation ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée.

(111) Les personnes concernées devraient avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et le droit de former un recours juridictionnel effectif conformément à l'article 47 de la charte des droits fondamentaux si elles estiment que les droits que leur confère le présent règlement ne sont pas respectés, si l'autorité de contrôle ne réagit pas à une réclamation ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits des personnes concernées.

Amendement  76

Proposition de règlement

Considérant 112

Texte proposé par la Commission

Amendement

(112) Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données et qui est constitué(e) conformément au droit d'un État membre devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle ou d'exercer le droit de recours au nom de personnes concernées, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel a été commise.

(112) Tout organisme, organisation ou association qui œuvre dans l'intérêt général et qui est constitué(e) conformément au droit d'un État membre devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle au nom des personnes concernés avec leur consentement, ou d'exercer le droit de recours s'il ou elle est mandaté(e) par les personnes concernées, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation du présent règlement a été commise.

Amendement            77

Proposition de règlement

Considérant 114

Texte proposé par la Commission

Amendement

(114) Afin de renforcer la protection judiciaire de la personne concernée dans les cas où l'autorité de contrôle compétente est établie dans un autre État membre que celui dans lequel la personne concernée réside, cette dernière peut demander à tout organisme, organisation ou association œuvrant à la protection des droits et intérêts des personnes concernées en vue de protéger leurs données à caractère personnel, d'intenter, pour son compte, un recours contre l'autorité de contrôle en question devant la juridiction compétente de l'autre État membre.

(114) Afin de renforcer la protection judiciaire de la personne concernée dans les cas où l'autorité de contrôle compétente est établie dans un autre État membre que celui dans lequel la personne concernée réside, cette dernière peut donner mandat à tout organisme, organisation ou association œuvrant dans l'intérêt général pour intenter un recours contre l'autorité de contrôle en question devant la juridiction compétente de l'autre État membre.

Amendement  78

Proposition de règlement

Considérant 115

Texte proposé par la Commission

Amendement

(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande.

(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. Cela ne s'applique pas aux personnes ne résidant pas dans l'Union européenne. L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande.

Amendement            79

Proposition de règlement

Considérant 116

Texte proposé par la Commission

Amendement

(116) En ce qui concerne les recours à l'encontre d'un responsable du traitement ou d'un sous-traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous-traitant a un établissement ou dans l'État membre dans lequel la personne concernée réside, sauf si le responsable du traitement est une autorité publique agissant dans l'exercice de la puissance publique.

(116) En ce qui concerne les recours à l'encontre d'un responsable du traitement ou d'un sous-traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous-traitant a un établissement ou, lorsque la personne concernée réside dans l'Union, dans l'État membre dans lequel elle réside, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l'exercice de la puissance publique.

Amendement  80

Proposition de règlement

Considérant 118

Texte proposé par la Commission

Amendement

(118) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure.

(118) Tout dommage, de nature financière ou non, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui ne peut cependant s'exonérer de sa responsabilité que s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure.

Amendement  81

Proposition de règlement

Considérant 119

Texte proposé par la Commission

Amendement

(119) Toute personne de droit privé ou de droit public qui ne respecte pas le présent règlement devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application.

(119) Toute personne de droit privé ou de droit public qui ne respecte pas le présent règlement devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application. Les règles relatives aux sanctions devraient être assorties de garanties procédurales adéquates en conformité avec les principes généraux du droit de l'Union et la charte des droits fondamentaux, y compris le droit de former un recours juridictionnel effectif, le droit à un procès équitable et le principe "ne bis in idem".

Amendement  82

Proposition de règlement

Considérant 119 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(119 bis) Lorsqu'ils appliquent des sanctions les États membres devraient s'attacher à respecter pleinement les garanties procédurales adéquates, y compris le droit de former un recours juridictionnel effectif, le droit à un procès équitable et le principe "ne bis in idem".

Amendement  83

Proposition de règlement

Considérant 121

Texte proposé par la Commission

Amendement

(121) Le traitement de données à caractère personnel à des fins uniquement journalistiques ou aux fins d'expression artistique ou littéraire devrait pouvoir bénéficier d'une dérogation à certaines dispositions du présent règlement, pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l'article 11 de la charte des droits fondamentaux de l'Union européenne. Ceci devrait notamment s'appliquer aux traitements de données à caractère personnel dans le domaine de l'audiovisuel et dans les documents d'archives et bibliothèques de journaux. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable des données et le sous-traitant, le transfert des données vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, et la coopération et la cohérence. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins des exemptions et dérogations à établir en vertu du présent règlement, les États membres devraient qualifier de «journalistiques» les activités ayant pour objet de communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas.

(121) Si nécessaire, des exemptions ou des dérogations aux exigences de certaines dispositions du présent règlement pour le traitement de données à caractère personnel devraient être prévues, pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l'article 11 de la charte des droits fondamentaux de l'Union européenne. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable des données et le sous-traitant, le transfert des données vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, la coopération et la cohérence, et dans des cas spécifiques de traitement de données. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, afin de couvrir l'ensemble des activités tendant à communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre, en tenant également compte de l'évolution des technologies. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas.

Amendement  84

Proposition de règlement

Considérant 122 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(122 bis) Un professionnel qui traite des données à caractère personnel relatives à la santé devrait recueillir, dans la mesure du possible, des données anonymes ou protégées par un pseudonyme, de sorte à ce que l'identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données.

Amendement  85

Proposition de règlement

Considérant 123

Texte proposé par la Commission

Amendement

(123) Le traitement de données à caractère personnel concernant la santé peut être nécessaire pour des raisons d'intérêt général dans les domaines de la santé publique, et sans le consentement de la personne concernée. Dans ce contexte, la notion de «santé publique» s'interprète selon la définition prévue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail, et désigne l'ensemble des éléments liés à la santé, à savoir, l'état de santé, y compris le décès et le handicap, les éléments déterminant cet état de santé, les besoins en soins de santé, les ressources allouées aux soins de santé, l'offre de soin et l'accès universel à ces soins ainsi que les dépenses et le financement des soins de santé et les causes de décès. Ces traitements de données à caractère personnel concernant la santé autorisés pour des motifs d'intérêt général ne doivent pas aboutir à ce que ces données soient traitées à d'autres fins par des tiers, tels que les employeurs, les compagnies d'assurance et les banques.

(123) Le traitement de données à caractère personnel concernant la santé peut être nécessaire pour des raisons d'intérêt général dans les domaines de la santé publique, et sans le consentement de la personne concernée. Dans ce contexte, la notion de "santé publique" s'interprète selon la définition prévue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil1, et désigne l'ensemble des éléments liés à la santé, à savoir, l'état de santé, y compris le décès et le handicap, les éléments déterminant cet état de santé, les besoins en soins de santé, les ressources allouées aux soins de santé, l'offre de soin et l'accès universel à ces soins ainsi que les dépenses et le financement des soins de santé et les causes de décès.

 

Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

Amendement  86

Proposition de règlement

Considérant 123 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(123 bis) Le traitement des données à caractère personnel concernant la santé, en tant que catégorie particulière de données, peut être nécessaire à des fins de recherche historique, statistique ou scientifique. Le présent règlement prévoit donc une dérogation à l'exigence de consentement dans les cas où la recherche sert un intérêt général élevé.

Amendement  87

Proposition de règlement

Considérant 124

Texte proposé par la Commission

Amendement

(124) Les principes généraux concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel devraient également être applicables dans le contexte de l'emploi. En conséquence, pour réglementer le traitement des données à caractère personnel des salariés dans ce contexte, les États membres devraient pouvoir, dans les limites du présent règlement, adopter par voie législative des règles spécifiques au traitement des données à caractère personnel dans le secteur de l'emploi.

(124) Les principes généraux concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel devraient également être applicables dans le contexte de l'emploi et de la sécurité sociale. Les États membres devraient pouvoir réglementer le traitement des données à caractère personnel des salariés et le traitement des données à caractère personnel dans le contexte de la sécurité sociale, en veillant au respect des règles et normes minimales fixées dans le présent règlement. Dans la mesure où il existe, dans l'État membre concerné, une base juridique qui permet de réglementer les affaires relevant des relations de travail par une convention entre les représentants des salariés et la direction de l'entreprise ou de l'entreprise qui exerce le contrôle d'un groupe (convention collective) ou conformément à la directive 2009/38/CE du Parlement européen et du Conseil1, le traitement des données à caractère personnel dans le contexte des relations de travail peut également être réglementé par une telle convention.

 

1 Directive 2009/38/CE du Parlement européen et du Conseil du 6 mai 2009 concernant l'institution d'un comité d'entreprise européen ou d'une procédure dans les entreprises de dimension communautaire et les groupes d'entreprises de dimension communautaire en vue d'informer et de consulter les travailleurs (JO L 122 du 16.5.2009, p. 28).

Amendement  88

Proposition de règlement

Considérant 125 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(125 bis) Les données à caractère personnel peuvent également faire l'objet d'un traitement ultérieur par des services d'archive qui ont pour mission principale ou obligatoire de collecter, conserver, communiquer, exploiter et diffuser des archives dans l'intérêt général. La législation des États membres devrait concilier le droit à la protection des données à caractère personnel avec la règlementation régissant les archives et l'accès des citoyens à l'information administrative. Les États membres devraient encourager l'élaboration, en particulier par le Groupe européen d'archives, de règles visant à garantir la confidentialité des données vis-à-vis des tiers et l'authenticité, l'intégrité et la bonne conservation des données.

Amendement            89

Proposition de règlement

Considérant 126

Texte proposé par la Commission

Amendement

(126) Aux fins du présent règlement, la notion de «recherche scientifique» devrait comprendre la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et devrait en outre tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche.

(126) Aux fins du présent règlement, la notion de "recherche scientifique" devrait comprendre la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et devrait en outre tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Le traitement de données à caractère personnel à des fins de recherche historique, statistique et scientifique ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre.

Amendement  90

Proposition de règlement

Considérant 128

Texte proposé par la Commission

Amendement

(128) Conformément à l'article 17 du traité sur le fonctionnement de l'Union européenne, le présent règlement respecte et ne préjuge pas du statut dont bénéficient, en vertu du droit national, les églises et les associations ou communautés religieuses dans les États membres. Il s'ensuit que si, dans un État membre, une église applique, à la date d'entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, ces règles existantes devraient continuer de s'appliquer si elles sont mises en conformité avec les dispositions du présent règlement. Ces églises et les associations religieuses devraient être tenues d'instituer une autorité de contrôle totalement indépendante.

(128) Conformément à l'article 17 du traité sur le fonctionnement de l'Union européenne, le présent règlement respecte et ne préjuge pas du statut dont bénéficient, en vertu du droit national, les églises et les associations ou communautés religieuses dans les États membres. Il s'ensuit que si, dans un État membre, une église applique, à la date d'entrée en vigueur du présent règlement, un ensemble adéquat de règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, ces règles existantes devraient continuer de s'appliquer si elles sont mises en conformité avec les dispositions du présent règlement et reconnues conformes.

Amendement  91

Proposition de règlement

Considérant 129

Texte proposé par la Commission

Amendement

(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les transferts encadrés par des règles d'entreprise contraignantes; les dérogations relatives aux transferts; les sanctions administratives; les traitements à des fins médicales; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil.

(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la spécification des conditions du mode de description fondé sur des icônes pour la fourniture d'informations; le droit à l'effacement; la déclaration de la conformité des codes de conduite avec le règlement; les critères et exigences applicables aux mécanismes de certification; le niveau adéquat de protection offert par un pays tiers ou par une organisation internationale; les transferts encadrés par des règles d'entreprise contraignantes; les sanctions administratives; le traitement de données à des fins sanitaires et le traitement de données dans le cadre de l'emploi. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts, en particulier avec le comité européen de la protection des données. Lorsqu'elle prépare et élabore des actes délégués, il convient que la Commission veille à ce que tous les documents utiles soient transmis en temps voulu, de façon appropriée et simultanée, au Parlement européen et au Conseil.

Amendement  92

Proposition de règlement

Considérant 130

Texte proposé par la Commission

Amendement

(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises.

(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs à des méthodes particulières d'obtention du consentement vérifiable en lien avec le traitement des données à caractère personnel des enfants; des formulaires types pour communiquer aux personnes concernées des informations sur l'exercice de leurs droits; des formulaires types pour l'information de la personne concernée; des formulaires types concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; des formulaires types concernant la documentation devant être conservée par le responsable du traitement et le sous-traitant; le formulaire type pour la communication des violations de données à caractère personnel à l'autorité de contrôle et pour la consignation des violations de données à caractère personnel; des formulaires de consultation et d'information préalables des autorités de contrôle. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil1. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises.

 

1 Règlement (UE) n° 182/2011 du Parlement Européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises.

Amendement  93

Proposition de règlement

Considérant 131

Texte proposé par la Commission

Amendement

(131) La procédure d'examen devrait être appliquée pour l'établissement des formulaires types en vue de l'obtention du consentement d'un enfant; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes sont de portée générale.

(131) La procédure d'examen devrait être appliquée pour l'adoption de formulaires types: des formulaires types relatifs aux méthodes particulières d'obtention du consentement vérifiable en lien avec le traitement des données à caractère personnel des enfants; des formulaires types pour communiquer aux personnes concernées des informations sur l'exercice de leurs droits; des formulaires types pour l'information de la personne concernée; des formulaires types concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; des formulaires types concernant la documentation devant être conservée par le responsable du traitement et le sous-traitant; le formulaire type pour la communication des violations de données à caractère personnel à l'autorité de contrôle et pour la consignation des violations de données à caractère personnel; des formulaires de consultation et d'information préalables de l'autorité de contrôle, puisque ces actes sont de portée générale.

Amendement  94

Proposition de règlement

Considérant 132

Texte proposé par la Commission

Amendement

(132) La Commission devrait adopter des actes d'exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, ou un territoire ou secteur de traitement de données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, ou concernant des questions communiquées par les autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence, des raisons d'urgence impérieuses l'exigent.

supprimé

Amendement            95

Proposition de règlement

Considérant 134

Texte proposé par la Commission

Amendement

(134) La directive 95/46/CE devrait être abrogée par le présent règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et les autorisations qui ont été accordées par les autorités de contrôle, sur le fondement de ladite directive devraient demeurer en vigueur.

(134) La directive 95/46/CE devrait être abrogée par le présent règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et les autorisations qui ont été accordées par les autorités de contrôle, sur le fondement de ladite directive devraient demeurer en vigueur. Les décisions de la Commission et les autorisations accordées par les autorités de contrôle relatives aux transferts de données à caractère personnel vers des pays tiers conformément à l'article 41, paragraphe 8, devraient demeurer en vigueur pour une période transitoire de cinq ans après l'entrée en vigueur du présent règlement à moins qu'elles ne soit modifiées, remplacées ou abrogées par la Commission avant la fin de cette période.

Amendement  96

Proposition de règlement

Article 2

Texte proposé par la Commission

Amendement

Champ d'application matériel

Champ d'application matériel

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, quel que soit le moyen de traitement, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel:

2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel:

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union;

b) par les institutions, organes et organismes de l'Union;

 

c) par les États membres dans l'exercice d'activités qui relèvent du champ d'application du chapitre 2 du traité sur l'Union européenne;

c) par les États membres dans l'exercice d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;

d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques;

d) par une personne physique dans le cadre de ses activités exclusivement personnelles ou domestiques. Cette dérogation s'applique également à une publication de données à caractère personnel lorsqu'il peut raisonnablement être escompté que seul un nombre limité de personnes y aura accès.

e) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

e) par les autorités publiques compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires.

3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires.

Amendement  97

Proposition de règlement

Article 3

Texte proposé par la Commission

Amendement

Champ d'application territorial

Champ d'application territorial

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union.

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou pas dans l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées; ou

b) à l'observation de leur comportement.

b) à l'observation de ces personnes concernées.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation nationale d'un État membre s'applique en vertu du droit international public.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation nationale d'un État membre s'applique en vertu du droit international public.

Amendement  98

Proposition de règlement

Article 4

Texte proposé par la Commission

Amendement

Définitions

Définitions

Aux fins du présent règlement, on entend par:

Aux fins du présent règlement, on entend par:

1) «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

 

2) «données à caractère personnel»: toute information se rapportant à une personne concernée;

2) "données à caractère personnel": toute information se rapportant à une personne physique identifiée ou identifiable (la "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, par exemple à un nom, à un numéro d'identification, à des données de localisation, à un identifiant unique ou à un ou plusieurs éléments spécifiques, propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne;

 

2 bis) "données pseudonymes": des données à caractère personnel qui ne peuvent pas être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution;

 

2 ter) "données cryptées": des données à caractère personnel qui sont rendues inintelligibles par des mesures de protection technologique pour toute personne qui n'est pas autorisée à y avoir accès;

3) «traitement de données à caractère personnel»: toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction;

3) "traitement de données à caractère personnel": toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction;

 

3 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement;

4) «fichier»: tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

4) "fichier": tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

5) «responsable du traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre;

5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre;

6) «sous-traitant»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

6) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

(7) «destinataire»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel;

(7) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel;

 

7 bis) "tiers": toute personne physique ou morale, autorité publique, service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;

8) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

9) «violation de données à caractère personnel»: une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière;

9) "violation de données à caractère personnel": la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d'une autre manière;

10) «données génétiques»: toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal;

10) "données génétiques": toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises, résultant d'une analyse d'un échantillon biologique de la personne en question, notamment par une analyse des chromosomes, de l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou d'une analyse de tout autre élément permettant d'obtenir des informations équivalentes;

11) «données biométriques»: toutes les données relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

11) "données biométriques": toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

12) «données concernant la santé»: toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne;

12) "données concernant la santé": toutes données à caractère personnel relatives à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne;

13) «établissement principal»: en ce qui concerne le responsable du traitement, le lieu de son établissement dans l'Union où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; si aucune décision de ce type n'est prise dans l'Union, l'établissement principal est le lieu où sont exercées les principales activités de traitement dans le cadre des activités d'un établissement d'un responsable du traitement dans l'Union; en ce qui concerne le sous-traitant, on entend par «établissement principal» le lieu de son administration centrale dans l'Union;

13) "établissement principal": le lieu de l'établissement de l'entreprise ou du groupe d'entreprises dans l'Union, qu'il s'agisse du responsable du traitement ou du sous-traitant, où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; Il peut être notamment tenu compte des critères objectifs suivants: la localisation du siège du responsable du traitement ou du sous-traitant; la localisation de l'entité au sein du groupe d'entreprises qui est la mieux placée en termes de fonctions de direction et de responsabilités administratives pour s'occuper des règles exposées dans le présent règlement et les faire appliquer; la localisation les activités effectives et réelles de direction sont exercées, et qui déterminent le traitement des données dans le cadre d'une installation stable;

14) «représentant»: toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit en lieu et place de ce dernier et peut être contactée à sa place par les autorités de contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement;

14) "représentant": toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui représente ce dernier, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement;

15) «entreprise»: toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

15) "entreprise": toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

16) «groupe d'entreprises»: une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

16) "groupe d'entreprises": une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

17) «règles d'entreprise contraignantes»: les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre de l'Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises;

17) "règles d'entreprise contraignantes": les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre de l'Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises;

18) «enfant»: toute personne âgée de moins de dix-huit ans;

18) "enfant": toute personne âgée de moins de dix-huit ans;

19) «autorité de contrôle»: une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 46.

19) "autorité de contrôle": une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 46.

Amendement  99

Proposition de règlement

Article 5

Texte proposé par la Commission

Amendement

Principes relatifs au traitement des données à caractère personnel

Principes relatifs au traitement des données à caractère personnel

Les données à caractère personnel doivent être:

Les données à caractère personnel sont:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée;

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (limitation de la finalité);

c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel (limitation des données au minimum);

d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (exactitude);

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation;

e) conservées sous une forme permettant l'identification directe ou indirecte des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique ou pour être archivées conformément aux règles et aux conditions énoncées à l'article 83 et à l'article 83 bis et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation et, le cas échéant, que des mesures techniques et organisationnelles sont mises en place afin de limiter l'accès aux données à ces seules fins (minimisation de la durée de conservation);

 

e bis) traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits (effectivité);

 

e ter) traités de façon à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité);

f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporte la preuve.

f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité avec les dispositions du présent règlement et est en mesure d'en apporter la preuve (responsabilité).

Amendement            100

Proposition de règlement

Article 6

Texte proposé par la Commission

Amendement

Licéité du traitement

Licéité du traitement

1. Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l'une au moins des situations suivantes s'applique:

1. Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l'une au moins des situations suivantes s'applique:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;

e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou, en cas de divulgation, par le tiers à qui les données sont divulguées, et il satisfait les attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83.

2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83.

3. Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans:

3. Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans:

a) le droit de l'Union, ou

a) le droit de l'Union, ou

b) la législation de l'État membre à laquelle le responsable du traitement des données est soumis.

b) la législation de l'État membre à laquelle le responsable du traitement des données est soumis.

La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi.

La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi. Dans les limites du présent règlement, la législation de l'État membre peut fournir des détails relatifs à la licéité du traitement, en particulier concernant les responsables du traitement, la finalité du traitement et la conformité à cette finalité, le type de données et les personnes concernées, les opérations et procédures de traitement, les destinataires, ainsi que la durée de conservation.

4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat.

 

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant.

 

Amendement  101

Proposition de règlement

Article 7

Texte proposé par la Commission

Amendement

Conditions de consentement

Conditions de consentement

1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

1. Lorsque le traitement est basé sur le consentement, la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire.

2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître clairement sous une forme qui le distingue de cette autre affaire. Les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le présent règlement sont entièrement nulles.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné.

3. Sans préjudice des autres bases juridiques pour le traitement, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Il devrait être aussi simple de retirer son consentement que de le donner. la personne concernée est informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement.

4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement.

4. Le consentement est lié à la finalité et devient caduc lorsque cette finalité n'existe plus ou dès que le traitement des données à caractère personnel n'est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées. L'exécution d'un contrat ou la fourniture d'un service n'est pas soumise à la condition préalable du consentement au traitement des données qui ne sont pas nécessaires à l'exécution du contrat ou à la fourniture du service, conformément à l'article 6, paragraphe 1, point b).

Amendement            102

Proposition de règlement

Article 8

Texte proposé par la Commission

Amendement

Traitement de données à caractère personnel relatives aux enfants

Traitement de données à caractère personnel relatives aux enfants

1. Aux fins du présent règlement, s'agissant de l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles.

1. Aux fins du présent règlement, s'agissant de l'offre directe de biens ou de services aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par son tuteur légal. Le responsable du traitement s'efforce raisonnablement de vérifier le consentement, compte tenu des moyens techniques disponibles, sans pour autant entraîner de traitement inutile de données à caractère personnel.

 

1 bis. Les informations fournies aux enfants, aux parents et aux tuteurs légaux, y compris en ce qui concerne la collecte et l'utilisation des données par le responsable du traitement, devraient être communiquées dans des termes clairs adaptés au public visé.

2. Le paragraphe 1 n'affecte pas la législation générale des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant.

2. Le paragraphe 1 n'affecte pas la législation générale des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux méthodes d'obtention du consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.

3. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques applicables aux méthodes de vérification du consentement visé au paragraphe 1, conformément à l'article 66.

4. La Commission peut établir des formulaires types pour les méthodes particulières d'obtention du consentement vérifiable prévu au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  103

Proposition de règlement

Article 9

Texte proposé par la Commission

Amendement

Traitements portant sur des catégories particulières de données à caractère personnel

Catégories particulières de données

1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions, à des condamnations, ou encore à des mesures de sûreté connexes sont interdits.

2. Le paragraphe 1 ne s'applique pas lorsque:

2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; ou

a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel à une ou plusieurs fins spécifiques, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée, ou

 

a bis) le traitement est nécessaire aux prestations ou à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale prévoyant des garanties appropriées; ou

b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale ou par des conventions collectives prévoyant des garanties appropriées protégeant les droits fondamentaux et les intérêts de la personne concernée, tels que le droit à la non-discrimination, sous réserve des conditions et des garanties prévues à l'article 82; ou

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou

e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou

e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou

f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou

f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou

g) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général sur le fondement du droit de l'Union ou d'un État membre, qui doit prévoir des mesures appropriées à la sauvegarde des intérêts légitimes de la personne concernée; ou

g) le traitement est nécessaire à l'exécution d'une mission effectuée pour des raisons servant un intérêt général élevé, sur le fondement du droit de l'Union ou d'un État membre, qui doit être proportionné à l'objectif poursuivi, respecter l'esprit du droit à la protection des données et prévoir des mesures adéquates pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée; ou

h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81; ou

h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81; ou

i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou

i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou

 

i bis) le traitement est nécessaire pour des services d'archives, sous réserve des conditions et des garanties prévues à l'article 83 bis; ou

j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

j) le traitement des données relatives aux sanctions administratives, aux jugements, aux infractions pénales, aux condamnations ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates pour les droits fondamentaux et les intérêts de la personne concernée. Tout registre des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2.

3. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2, conformément à l'article 66.

Amendement            104

Proposition de règlement

Article 10

Texte proposé par la Commission

Amendement

Si les données traitées par un responsable du traitement ne lui permettent pas d'identifier une personne physique, le responsable du traitement n'est pas tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement.

1. Si les données traitées par un responsable du traitement ne lui permettent pas, ou ne permettent pas à son sous-traitant, d'identifier directement ou indirectement une personne physique, ou consistent uniquement en des données pseudonymes, le responsable du traitement ne traite ni n'obtient des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement.

 

2. Lorsque le responsable du traitement n'est pas en mesure de se conformer à une disposition du présent règlement en raison du paragraphe 1, il n'est pas tenu de le faire. Lorsque, de ce fait, le responsable du traitement n'est pas en mesure de satisfaire à une demande de la personne concernée, il en informe cette dernière.

Amendement  105

Proposition de règlement

Article 10 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 10 bis

 

Principes généraux en matière de droits des personnes concernées

 

1. Les droits clairs et univoques d'une personne concernée devant être respectés par le responsable du traitement constituent le fondement de la protection des données. Les dispositions du présent règlement visent à renforcer, clarifier, garantir et, le cas échéant, codifier ces droits.

 

2. Ces droits incluent, notamment, la fourniture d'informations claires et aisément compréhensibles quant au traitement de ses données à caractère personnel, le droit d'accéder à ses données, de les rectifier ou de les effacer, le droit d'obtenir des données, le droit de s'opposer au profilage, le droit de déposer une réclamation auprès de l'autorité de protection des données compétente et d'engager une action en justice, ainsi que le droit d'obtenir réparation et de percevoir une indemnisation en cas d'opération de traitement illégale. Ces droits peuvent en général être exercés sans frais. Le responsable du traitement répond aux demandes de la personne concernée dans un délai raisonnable.

Amendement  106

Proposition de règlement

Article 11

Texte proposé par la Commission

Amendement

1. Le responsable du traitement applique des règles internes transparentes et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et en vue de l'exercice de leurs droits par les personnes concernées.

1. Le responsable du traitement applique des règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et en vue de l'exercice de leurs droits par les personnes concernées.

2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, adaptés à la personne concernée, en particulier lorsqu'une information est adressée spécifiquement à un enfant.

2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant.

Amendement  107

Proposition de règlement

Article 12

Texte proposé par la Commission

Amendement

1. Le responsable du traitement établit les procédures d'information prévues à l'article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l'introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique.

1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique lorsque cela est possible.

2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

2. Le responsable du traitement informe la personne concernée sans retard injustifié et, au plus tard, dans un délai de 40 jours civils à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit et, lorsque cela est possible, le responsable du traitement des données peut donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement à ses données à caractère personnel. Lorsque la personne concernée en fait la demande sous forme électronique et lorsque cela est possible, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

3. Si le responsable du traitement refuse de prendre des mesures demandées par la personne concernée, il informe cette dernière des motifs du refus, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

3. Si le responsable du traitement ne prend pas les mesures demandées par la personne concernée, il informe cette dernière des motifs de son inaction, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui reflètent les coûts administratifs nécessaires pour fournir les informations ou pour prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4.

 

6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement            108

Proposition de règlement

Article 13

Texte proposé par la Commission

Amendement

Droits à l'égard des destinataires

Obligation de notifier les rectifications et les effacements

Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification ou effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

Le responsable du traitement communique à chaque destinataire à qui les données ont été transférées toute rectification ou tout effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de ces destinataires si celle-ci en fait la demande.

Amendement  109

Proposition de règlement

Article 13 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 13 bis

 

Politiques d'information normalisées

 

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement informe la personne concernée des éléments suivants avant de fournir les informations visées à l'article 14:

 

a) les données à caractère personnel sont collectées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement;

 

b) les données à caractère personnel sont conservées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement;

 

c) les données à caractère personnel sont traitées ou non à des fins autres que celles de leur collecte;

d) les données à caractère personnel sont divulguées à des tiers commerciaux;

 

e) les données à caractère personnel sont vendues ou louées ou non;

 

f) les données à caractère personnel sont conservées ou non sous forme cryptée.

 

2. Les éléments visés au paragraphe 1 sont présentés conformément à l'annexe X sous la forme d'un tableau aligné, au moyen de texte et de pictogrammes, dans les trois colonnes suivantes:

 

a) la première colonne représente les formes graphiques symbolisant ces éléments;

 

b) la deuxième colonne contient des informations essentielles décrivant ces éléments;

 

c) la troisième colonne représente les formes graphiques indiquant si la réponse à un élément spécifique est affirmative ou négative.

 

3. Les informations visées aux paragraphes 1 et 2 sont présentées de manière visible et facilement lisible et dans un langage aisément compris par les consommateurs des États membres auxquels les informations sont fournies. Lorsque les éléments sont présentés par voie électronique, ils sont lisibles par machine.

 

4. Il convient de ne pas fournir d'éléments supplémentaires. Des explications détaillées ou des remarques supplémentaires concernant les éléments visés au paragraphe 1 peuvent être fournies en même temps que les autres informations requises conformément à l'article 14.

 

5. La Commission est habilitée, après avoir demandé un avis du comité européen de la protection des données, à adopter des actes délégués conformément à l'article 86, aux fins de préciser davantage les éléments visés au paragraphe 1 ainsi que leur présentation telle qu'indiquée au paragraphe 2 et à l'annexe 1.

Amendement  110

Proposition de règlement

Article 14

Texte proposé par la Commission

Amendement

Informations à fournir la personne concernée

Informations à fournir la personne concernée

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne au moins les informations suivantes:

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne à tout le moins les informations suivantes, après qu'elle ait été informée des éléments visés à l'article 13 bis:

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;

a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;

b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l'article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f);

b) les finalités spécifiques du traitement auquel sont destinées les données à caractère personnel ainsi que les informations relatives à la sécurité et au traitement des données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l'article 6, paragraphe 1, point b), et, le cas échéant, les informations relatives à la façon dont sont mises en œuvre et satisfaites les exigences visées à l'article 6, paragraphe 1, point f);

c) la durée pendant laquelle les données à caractère personnel seront conservées;

c) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée;

d) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données;

d) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données, ou d'obtenir des données;

e) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

e) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

f) les destinataires ou les catégories de destinataires des données à caractère personnel;

f) les destinataires ou les catégories de destinataires des données à caractère personnel;

g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers ou l'organisation internationale en question, par référence à une décision relative au caractère adéquat du niveau de protection rendue par la Commission;

g) le cas échéant, son intention d'effectuer un transfert de données vers un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision relative au caractère adéquat rendue par la Commission, ou, dans le cas des transferts visés à l'article 42, à l'article 43 ou à l'article 44, paragraphe 1, point h), la référence aux garanties appropriées et les moyens d'en obtenir une copie;

 

g bis) le cas échéant, des informations relatives à l'existence d'un profilage, de mesures fondées sur le profilage et aux effets escomptés du profilage sur la personne concernée;

 

h bis) des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé;

h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées.

h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées ou traitées, notamment l'existence de certaines activités et opérations de traitement pour lesquelles une analyse d'impact sur les données à caractère personnel a fait état d'un risque élevé;

 

h bis) le cas échéant, des informations indiquant si les données à caractère personnel ont été fournies aux autorités publiques au cours de la dernière période de 12 mois consécutifs.

2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

 

2 bis. En se prononçant sur les informations supplémentaires qui doivent être nécessairement fournies pour que traitement soit loyal conformément au paragraphe 1, point h), les responsables du traitement tiennent compte des lignes directrices applicables énoncées à l'article 38.

3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel.

3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données spécifiques à caractère personnel. Si les données à caractère personnel émanent de sources accessibles au public, une indication générale peut être donnée.

4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3:

4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3:

a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou

a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée ou, si cela n'est pas possible, sans retard injustifié; ou

 

a bis) sur demande d'un organe, d'une organisation ou d'une association visé à l'article 73;

b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment les données sont communiquées pour la première fois.

b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si un transfert vers un autre destinataire est envisagé, et au plus tard au moment du premier transfert ou, si les données doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne; ou

 

b bis) uniquement sur demande lorsque les données sont traitées par une petite ou micro-entreprise qui ne traite des données qu'à titre accessoire.

5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:

5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:

a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3; ou

a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3; ou

b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés; ou

b) les données sont traitées à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et garanties visées aux articles 81 et 83, ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés, et que le responsable du traitement a publié les informations afin que toute personne soit en mesure de les retrouver; ou

c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation; ou

c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation à laquelle le responsable du traitement est soumis et qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, en tenant compte des risques que représentent le traitement et la nature des données à caractère personnel; ou

d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21.

d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autres personnes physiques tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21;

 

d bis) les données sont traitées par une personne soumise à une obligation de secret professionnel réglementée par le droit de l'Union ou d'un État membre ou à un devoir légal de confidentialité et lui sont confiées ou sont portées à sa connaissance dans le cadre de sa profession, à moins que les données ne soient collectées directement auprès de la personne concernée.

6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les intérêts légitimes de la personne concernée.

6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les droits ou les intérêts légitimes de la personne concernée.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises.

 

8. La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  111

Proposition de règlement

Article 15

Texte proposé par la Commission

Amendement

Droit d'accès de la personne concernée

Droit de la personne concernée d'accéder aux données ou de les obtenir

1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes:

1. Conformément à l'article 12, paragraphe 4, la personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées, et dans un langage clair et simple, les informations suivantes:

a) les finalités du traitement;

a) les finalités du traitement pour chaque catégorie de données à caractère personnel;

b) les catégories de données à caractère personnel concernées;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers;

c) les destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, notamment lorsque les destinataires sont établis dans des pays tiers;

d) la durée pendant laquelle les données à caractère personnel seront conservées;

d) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données;

 

h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20.

h) l'importance et les conséquences envisagées de ce traitement.

 

h bis) des informations utiles relatives à la logique qui sous-tend tout traitement automatisé;

 

h ter) sans préjudice de l'article 21, lorsque des données à caractère personnel ont été divulguées à une autorité publique à la demande de cette dernière, la confirmation qu'une telle demande a bien eu lieu.

2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies dans un format électronique structuré, à moins que la personne concernée ne demande qu'il en soit autrement. Sans préjudice de l'article 10, le responsable du traitement prend toutes les mesures raisonnables pour vérifier que la personne demandant l'accès aux données est la personne concernée.

 

2 bis. Lorsque les données à caractère personnel ont été communiquées par la personne concernée et que ces données font l'objet d'un traitement automatisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données à caractère personnel communiquées dans un format électronique interopérable qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle. Lorsque cela est techniquement réalisable et matériellement possible, les données sont transférées directement d'un responsable du traitement à un autre à la demande de la personne concernée.

 

2 ter. Le présent article est sans préjudice de l'obligation de suppression des données devenues inutiles en vertu de l'article 5, paragraphe 1, point e).

 

2 quater. Il n'existe aucun droit d'accès conformément aux paragraphes 1 et 2 lorsque des données au sens de l'article 14, paragraphe 5, point d bis), sont visées, à moins que la personne concernée n'ait le pouvoir de lever le secret en question et agit en ce sens.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g).

 

4. La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l'identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  112

Proposition de règlement

Article 17

Texte proposé par la Commission

Amendement

Droit à l'oubli numérique et à l'effacement

Droit à l'effacement

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu'elle était enfant, ou pour l'un des motifs suivants:

1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données et elle peut obtenir de tiers l'effacement de tous les liens vers ces données, ou de toute copie ou reproduction de celles-ci, pour l'un des motifs suivants:

a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées,

a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19;

c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19;

 

c bis) un tribunal ou une autorité réglementaire basé(e) dans l'Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée;

d) le traitement des données n'est pas conforme au présent règlement pour d'autres motifs.

d) les données ont fait l'objet d'un traitement illicite.

 

1 bis. L'application du paragraphe 1 dépend de la capacité du responsable du traitement à vérifier que la personne demandant l'effacement est la personne concernée.

2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication.

2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel sans aucune justification fondée sur l'article 6, paragraphe 1, il prend toutes les mesures raisonnables pour procéder à l'effacement de ces données, y compris par des tiers, sans préjudice de l'article 77. Le responsable du traitement informe la personne concernée, lorsque cela est possible, des mesures prises par les tiers concernés.

3. Le responsable du traitement procède à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire:

3. Le responsable du traitement et, le cas échant, le tiers procèdent à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire:

a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80;

a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80;

b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81;

b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81;

c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83;

c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83;

d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi;

d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi;

e) dans les cas mentionnés au paragraphe 4.

e) dans les cas mentionnés au paragraphe 4.

4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel:

4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel de manière à ce qu'elles ne soient pas soumises aux manipulations usuelles d'accès aux données et de traitement des données exécutées par le responsable du traitement et qu'elles ne puissent plus être modifiées:

a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données lorsque cette dernière est contestée par la personne concernée;

a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données lorsque cette dernière est contestée par la personne concernée;

b) lorsqu'elles ne sont plus utiles au responsable du traitement pour qu'il s'acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires, ou

b) lorsqu'elles ne sont plus utiles au responsable du traitement pour qu'il s'acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires, ou

c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;

c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;

 

c bis) lorsqu'un tribunal ou une autorité réglementaire basé dans l'Union a jugé que le traitement des données concernées doit être limité et cette décision a acquis force de chose jugée;

(d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 18, paragraphe 2.

d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 15, paragraphe 2 bis.

 

d bis) lorsque le type particulier de technologie de stockage ne permet pas l'effacement et a été mis en place avant l'entrée en vigueur du présent règlement.

5. Les données à caractère personnel énumérées au paragraphe 4 ne peuvent être traitées, à l'exception de la conservation, qu'à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d'une autre personne physique ou morale ou pour un objectif d'intérêt général.

5. Les données à caractère personnel énumérées au paragraphe 4 ne peuvent être traitées, à l'exception de la conservation, qu'à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d'une autre personne physique ou morale ou pour un objectif d'intérêt général.

6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

7. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l'effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.

 

8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel.

8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel.

 

8 bis. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l'effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.

9. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser:

9. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 86, aux fins de préciser:

a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données;

a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données;

b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2;

b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2;

c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4.

c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4.

Amendement  113

Proposition de règlement

Article 18

Texte proposé par la Commission

Amendement

Droit à la portabilité des données

supprimé

1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée.

 

2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle.

 

3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  114

Proposition de règlement

Article 19

Texte proposé par la Commission

Amendement

Droit d'opposition

Droit d'opposition

1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), à moins que le responsable du traitement n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée.

1. La personne concernée a le droit de s'opposer à tout moment à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d) et e), à moins que le responsable du traitement n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée.

2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations.

2. Lorsque le traitement de données à caractère personnel est basé sur l'article 6, paragraphe 1, point f), la personne concernée a le droit de s'opposer sans frais, à tout moment et sans autre justification, à titre général ou à toute fin spécifique, au traitement de ses données à caractère personnel.

 

2 bis. Le droit visé au paragraphe 2 est explicitement proposé à la personne concernée d'une façon claire et sous une forme intelligible, dans un langage simple et clair, en particulier si la personne concernée est un enfant, et doit pouvoir être clairement distingué d'autres informations.

 

2 ter. Dans le contexte de l'utilisation des services de la société de l'information, et par dérogation à la directive 2002/58/CE, le droit d'opposition peut être exercé à l'aide de procédés automatisés en utilisant une norme technique permettant à la personne concernée d'exprimer clairement sa volonté.

3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées.

3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées aux fins définies dans l'opposition.

(La dernière phrase du paragraphe 2 du texte de la Commission est devenue le paragraphe 2 bis de l'amendement du Parlement).

Amendement  115

Proposition de règlement

Article 20

Texte proposé par la Commission

Amendement

Mesures fondées sur le profilage

Profilage

1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement.

1. Sans préjudice des dispositions de l'article 6, toute personne physique a le droit de s'opposer au profilage conformément à l'article 19. La personne concernée est informée de son droit de s'opposer au profilage de façon évidente.

2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement:

2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à un profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, ses droits ou libertés de la personne concernée que si le traitement:

a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d'obtenir une intervention humaine; ou

a) est nécessaire aux fins de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite, à condition que des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée aient été invoquées; ou

b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou

b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée;

c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées.

c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées.

3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 9.

3. Tout profilage qui a pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, l'orientation sexuelle ou l'identité de genre, ou qui se traduit par des mesures produisant un tel effet, est interdit. Le responsable du traitement doit assurer une protection efficace contre les discriminations pouvant découler du profilage. Le profilage ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 9.

4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l'existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée.

 

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2.

5. Le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, droits ou libertés n'est pas fondé exclusivement ou principalement sur le traitement automatisé et inclut une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation. Les mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2 incluent le droit d'obtenir une appréciation humaine et une explication de la décision prise à la suite de cette appréciation.

 

5 bis. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques conformément à l'article 66, paragraphe 1, point b), en vue préciser les critères et conditions s'appliquant au profilage conformément au paragraphe 2.

Amendement  116

Proposition de règlement

Article 21

Texte proposé par la Commission

Amendement

Limitations

Limitations

1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 et à l'article 32, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 11 à 19 et à l'article 32, pour autant que cette restriction poursuive un objectif clairement défini d'intérêt public, qu'elle respecte le principe essentiel du droit à la protection des données à caractère personnel, qu'elle soit proportionnée à l'objectif légitime poursuivi et qu'elle respecte les droits fondamentaux et les intérêts de la personne concernée, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique, pour:

a) assurer la sécurité publique;

a) assurer la sécurité publique;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;

b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;

c) sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés;

c) les aspects fiscaux;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c) et d);

e) assurer une mission de contrôle, d'inspection ou de réglementation dans le cadre de l'exercice d'une autorité publique compétente, dans les cas visés aux points a), b), c) et d);

f) garantir la protection de la personne concernée ou des droits et libertés d'autrui.

f) garantir la protection de la personne concernée ou des droits et libertés d'autrui.

2. Toute mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement.

2. Toute mesure législative visée au paragraphe 1 doit être nécessaire et proportionnée dans une société démocratique et doit notamment contenir des dispositions spécifiques relatives, au moins:

 

a) aux finalités du traitement;

 

b) aux modalités d'identification du responsable du traitement;

 

c) aux finalités et moyens spécifiques du traitement;

 

d) aux garanties destinées à prévenir les abus ou la consultation ou le transfert illégal;

 

e) au droit des personnes concernées à être tenues informées de toute limitation.

 

2 bis. Les mesures législatives visées au paragraphe 1 n'autorisent ni n'obligent les responsables privés du traitement à conserver des données autres que celles strictement nécessaires pour les finalités prévues à l'origine.

(Les derniers mots du paragraphe 2 du texte de la Commission sont devenus les points a) et b) dans l'amendement du Parlement.

Amendement  117

Proposition de règlement

Article 22

Texte proposé par la Commission

Amendement

Obligations incombant au responsable du traitement

Obligations et responsabilité du responsable du traitement

1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement.

1. Le responsable du traitement adopte des règles appropriées et met en œuvre des mesures techniques et organisationnelles adéquates et démontrables pour garantir, et être à même de démontrer de façon transparente, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement, compte étant tenu de l'état de la technique, de la nature du traitement des données à caractère personnel, du contexte, de la portée et des finalités du traitement, des risques pour les droits et libertés de la personne concernée et du type d'organisation, tant lors de la définition des moyens de traitement que lors du traitement proprement dit.

 

1 bis. Compte étant tenu des techniques les plus récentes et du coût de mise en œuvre, le responsable du traitement prend toutes les mesures raisonnables pour appliquer des politiques et procédures de conformité qui respectent systématiquement les choix indépendants des personnes concernées. Ces politiques de conformité sont révisées tous les deux ans au moins et mises à jour si nécessaire.

2. Les mesures prévues au paragraphe 1 portent notamment sur:

 

a) la tenue de la documentation en application de l'article 28;

 

b) la mise en œuvre des obligations en matière de sécurité des données prévues à l'article 30;

 

c) la réalisation d'une analyse d'impact relative à la protection des données en application de l'article 33;

 

d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;

 

e) la désignation d'un délégué à la protection des données en application de l'article 35, paragraphe 1.

 

3. Le responsable du traitement met en œuvre des mécanismes pour vérifier l'efficacité des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification.

3. Le responsable du traitement est en mesure de démontrer le caractère adéquat et efficace des mesures énoncées aux paragraphes 1 et 2. Les rapports d'activité réguliers du responsable du traitement, tels que les rapports obligatoires des sociétés cotées en bourse, contiennent une description des politiques et mesures visées au paragraphe 1.

 

3 bis. Le responsable du traitement a le droit de transmettre des données à caractère personnel dans l'Union au sein du groupe d'entreprises dont il est membre, lorsque ce traitement est nécessaire à des fins administratives internes légitimes entre des zones commerciales connectées du groupe d'entreprises, et si un niveau adéquat de protection des données ainsi que les intérêts des personnes concernées sont garantis par des dispositions internes en matière de protection des données ou des codes de conduite équivalents tels que visés à l'article 38.

4. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises.

 

Amendement  118

Proposition de règlement

Article 23

Texte proposé par la Commission

Amendement

Protection des données dès la conception et protection des données par défaut

Protection des données dès la conception et protection des données par défaut

1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée.

1. Compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des risques représentés par le traitement des données, le responsable du traitement et le sous-traitant éventuel appliquent, tant lors de la définition des objectifs et des moyens de traitement que lors du traitement proprement dit, des mesures et procédures techniques et organisationnelles appropriées et proportionnées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, notamment en ce qui concerne les principes établis à l'article 5. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement. Elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Une fois que le responsable du traitement a procédé à une analyse d'impact relative à la protection des données, conformément à l'article 33, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures.

 

1 bis. Afin d'encourager sa mise en œuvre étendue dans différents secteurs économiques, la protection des données dès la conception est une condition préalable aux offres de marchés publics en vertu de la directive 2004/18/CE du Parlement et du Conseil1 ainsi que de la directive 2004/17/CE du Parlement européen et du Conseil2 ("directive secteurs spéciaux").

2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

2. Le responsable du traitement s'assure que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées, conservées ou communiquées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l'ensemble des secteurs, produits et services.

 

4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

 

1 Directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés publics de travaux, de fournitures et de services (JO L 134 du 30.4.2004, p. 114).

 

2 Directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés dans les secteurs de l'eau, de l'énergie, des transports et des services postaux (JO L 134 du 30.4.2004, p. 1).

Amendement  119

Proposition de règlement

Article 24

Texte proposé par la Commission

Amendement

Responsables conjoints du traitement

Responsables conjoints du traitement

Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée.

Lorsque plusieurs responsables du traitement définissent conjointement les finalités et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement déterminent leurs obligations respectives dans le cadre d'un accord afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées et ses grandes lignes sont mises à disposition de la personne concernée. Lorsque la responsabilité n'est pas clairement établie, les responsables du traitement sont conjointement et solidairement responsables.

Amendement  120

Proposition de règlement

Article 25

Texte proposé par la Commission

Amendement

Représentants des responsables du traitement qui ne sont pas établis dans l'Union

Représentants des responsables du traitement qui ne sont pas établis dans l'Union

1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union.

1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union.

2. Cette obligation ne s'applique pas:

2. Cette obligation ne s'applique pas:

a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41; ou

a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41; ou

b) à une entreprise employant moins de 250 salariés; ou

b) à un responsable du traitement qui traite des données à caractère personnel qui concernent moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et qui ne traite pas de catégories particulières de données telles que visées à l'article 9, paragraphe 1, de données de localisation ou de données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur; ou

c) à une autorité ou à un organisme publics; ou

c) à une autorité ou à un organisme publics; ou

d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union.

d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union, à moins que le traitement de données à caractère personnel ne concerne des catégories particulières de données telles que visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur.

3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

3. Le représentant est établi dans l'un des États membres dans lesquels se déroule l'offre de biens ou de services aux personnes concernées ou son suivi.

4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même.

4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même.

Amendement  121

Proposition de règlement

Article 26

Texte proposé par la Commission

Amendement

Sous-traitant

Sous-traitant

1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures.

1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures.

2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant:

2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement. Le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et tâches respectifs quant au respect des exigences du présent règlement et prévoient que le sous-traitant:

a) n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit;

a) ne traite des données à caractère personnel que sur instruction du responsable du traitement, sauf disposition contraire du droit de l'Union ou de la législation nationale;

b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

c) prend toutes les mesures nécessaires en vertu de l'article 30;

c) prend toutes les mesures nécessaires en vertu de l'article 30;

d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement;

d) ne définit les conditions d'engagement d'un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement, sauf disposition contraire;

e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles appropriées et pertinentes pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34, en tenant compte de la nature du traitement et des informations à la disposition du sous-traitant;

g) transmet tous les résultats au responsable du traitement après la fin du traitement et s'abstient de traiter les données à caractère personnel de toute autre manière;

g) remet tous les résultats au responsable du traitement après la fin du traitement, s'abstient de traiter les données à caractère personnel de toute autre manière et supprime les copies existantes, à moins que la législation de l'Union ou des États membres n'exige le stockage des données;

h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article.

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent article et permet des inspections sur place.

3. Le responsable du traitement et le sous-traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.

3. Le responsable du traitement et le sous-traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.

 

3 bis. Les garanties suffisantes visées au paragraphe 1 peuvent être fournies par l'adhésion à des codes de conduite ou des mécanismes de certification conformément aux articles 38 ou 39 du présent règlement.

4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24.

4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, ou s'il devient la partie déterminante en ce qui concerne les finalités et moyens du traitement de données, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d'un groupe d'entreprises, en particulier aux fins de contrôle et de présentation de rapports.

 

Amendement 122

Proposition de règlement

Article 28

Texte proposé par la Commission

Amendement

Documentation

Documentation

1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire de tous les traitements effectués sous leur responsabilité.

1. Chaque responsable du traitement et chaque sous-traitant conserve une trace documentaire régulièrement mise à jour nécessaire au respect des exigences établies dans le présent règlement.

2. La documentation constituée comporte au moins les informations suivantes:

2. En outre, chaque responsable du traitement et sous-traitant conserve une trace documentaire des informations suivantes:

a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant, et du représentant, le cas échéant;

a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant, et du représentant, le cas échéant;

b) le nom et les coordonnées du délégué à la protection des données, le cas échéant;

b) le nom et les coordonnées du délégué à la protection des données, le cas échéant;

c) les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f);

 

d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant;

 

e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris les responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent;

e) le nom et les coordonnées des responsables du traitement auxquels les données à caractère personnel sont communiquées, le cas échéant;

f) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées;

 

g) une indication générale des délais impartis pour l'effacement des différentes catégories de données;

 

h) la description des mécanismes prévus à l'article 22, paragraphe 3.

 

3. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci.

 

4. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas aux responsables du traitement et aux sous-traitants relevant des catégories suivantes:

 

a) personnes physiques traitant des données à caractère personnel en l'absence de tout intérêt commercial; ou

 

b) entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale.

 

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement.

 

6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  123

Proposition de règlement

Article 29 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l’autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe.

1. Le responsable du traitement et, le cas échant, le sous-traitant ainsi que le représentant du responsable du traitement, coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe.

Amendement  124

Proposition de règlement

Article 30

Texte proposé par la Commission

Amendement

Sécurité des traitements

Sécurité des traitements

1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement, en tenant compte des résultats de l'analyse d'impact relative à la protection des données conformément à l'article 33, ainsi que des techniques les plus récentes et des coûts liés à leur mise en œuvre.

 

1 bis. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, cette politique de sécurité inclut:

 

a) la capacité de garantir l'intégrité de la personne concernée;

 

b) la capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel;

 

c) la capacité de rétablir la disponibilité des données et l'accès à celles-ci, dans les plus brefs délais, en cas d'incident physique ou technique qui compromet la disponibilité, l'intégrité et la confidentialité des systèmes et des services d'information;

 

d) s'agissant de données à caractère personnel sensibles, au sens des articles 8 et 9, des mesures de sécurité supplémentaires afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, contre les faiblesses et les incidents décelés qui pourraient présenter un risque pour les données;

 

e) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des politiques, des procédures et des plans de sécurité mis en place pour assurer une efficacité constante.

2. À la suite d'une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorisés, ou l'altération de données à caractère personnel.

2. Les mesures visées au paragraphe 1 poursuivent au moins les objectifs suivants:

 

a) garantir que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées;

 

b) protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites; et

 

c) assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique.

3. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 concernant les mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut.

4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue:

 

a) d’empêcher tout accès non autorisé à des données à caractère personnel;

 

b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel;

 

c) d'assurer la vérification de la licéité des traitements.

 

Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

(Le paragraphe 2 du texte de la Commission devient en partie le point b) dans l'amendement du Parlement.)

Amendement  125

Proposition de règlement

Article 31

Texte proposé par la Commission

Amendement

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard.

1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié.

2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel.

2. Le sous-traitant alerte et informe le responsable du traitement de la violation de données à caractère personnel sans retard injustifié après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;

a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;

b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

d) décrire les conséquences de la violation de données à caractère personnel;

d) décrire les conséquences de la violation de données à caractère personnel;

e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel.

e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets.

 

Les informations peuvent être transmises en plusieurs phases, si cela s'avère nécessaire.

4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin.

4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article et de l'article 30. Elle comporte uniquement les informations nécessaires à cette fin.

 

4 bis. L'autorité de contrôle tient un registre public des types de violations notifiées.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

5. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, recommandations et bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 aux fins de l’établissement de la violation de données et de la détermination du retard injustifié visés aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  126

Proposition de règlement

Article 32

Texte proposé par la Commission

Amendement

Communication à la personne concernée d'une violation de données à caractère personnel

Communication à la personne concernée d'une violation de données à caractère personnel

1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée.

1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et c).

2.La communication à la personne concernée prévue au paragraphe 1 est détaillée et utilise un langage clair et simple. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b), c) et d), ainsi que des informations sur les droits de la personne concernée, y compris concernant les possibilités de recours.

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel.

5. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée.

6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement  127

Proposition de règlement

Article 32 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 32 bis

 

Prise en compte des risques

 

1. Le responsable du traitement ou, le cas échéant, le sous-traitant, réalise une analyse du risque en ce qui concerne les répercussions potentielles du traitement de données prévu sur les droits et les libertés des personnes concernées, tout en évaluant si les traitements sont susceptibles de présenter des risques spécifiques.

 

2. Les traitements susceptibles de présenter des risques spécifiques sont les suivants:

 

a) le traitement de données à caractère personnel de plus de 5 000 personnes concernées sur une période de douze mois consécutifs;

 

b) le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, des données de localisation, ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur;

 

c) l'établissement de profils sur la base desquels sont prises des mesures produisant des effets juridiques concernant ou affectant de manière tout aussi significative ladite personne;

 

d) le traitement de données à caractère personnel destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;

 

e) la surveillance automatisée à grande échelle de zones accessibles au public;

 

f) les autres traitements pour lesquels la consultation du délégué à la protection des données ou de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b);

 

g) lorsqu'une violation des données à caractère personnel risque de porter atteinte à la protection des données à caractère personnel, de la vie privée, des droits ou des intérêts légitimes de la personne concernée;

 

h) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées;

 

i) la mise à disposition de données à caractère personnel à un nombre de personnes dont on ne peut raisonnablement attendre qu'il soit limité.

 

3. En fonction des résultats de l'analyse du risque:

 

a) lorsqu'il est procédé à l'un quelconque des traitements visés aux points a) ou b) du paragraphe 2, les responsables du traitement non établis dans l'Union européenne désignent un représentant dans l'Union conformément aux obligations et aux exemptions visées à l'article 25;

 

b) lorsqu'il est procédé à l'un quelconque des traitements visés aux points a), b) ou h) du paragraphe 2, le responsable du traitement désigne un délégué à la protection des données conformément aux obligations et aux exemptions visées à l'article 35;

 

c) lorsqu'il est procédé à l'un quelconque des traitements visés aux points a), b), c), d), e), f), g) ou h) du paragraphe 2, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement procède à une analyse d'impact relative à la protection des données, conformément à l'article 33;

 

d) lorsqu'il est procédé aux traitements visés au point f) du paragraphe 2, le responsable du traitement consulte le délégué à la protection des données ou, dans l'éventualité où un délégué à la protection des données n'aurait pas été désigné, l'autorité de contrôle, conformément à l'article 34.

 

4. L'analyse des risques est révisée au plus tard après un an, ou immédiatement si la nature, la portée ou les finalités des traitements sont sensiblement modifiées. Lorsqu'en application du point c) du paragraphe 3, le responsable du traitement n'est pas tenu de procéder à une analyse d'impact relative à la protection des données, l'analyse des risques est documentée.

Amendement  128

Proposition de règlement

Chapitre 4 – section 3 – titre

Texte proposé par la Commission

Amendement

ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE

GESTION DE LA PROTECTION DES DONNÉES SUR TOUT LEUR CYCLE DE VIE

Amendement  129

Proposition de règlement

Article 33

Texte proposé par la Commission

Amendement

Analyse d’impact relative à la protection des données

Analyse d’impact relative à la protection des données

1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel.

1. Lorsque les dispositions de l'article 32 bis, paragraphe 3, point c) l'exigent, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur les droits et les libertés des personnes concernées, en particulier leur droit à la protection des données à caractère personnel. Une seule analyse suffit à examiner un ensemble de traitements similaires qui présentent des risques similaires.

2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants:

 

a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;

 

b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;

 

c) la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (vidéosurveillance) sont utilisés à grande échelle;

 

d) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques;

 

e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b).

 

3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées.

3. L'analyse porte sur la gestion de la totalité du cycle de vie des données à caractère personnel, de la collecte à la suppression, en passant par le traitement. Elle contient au moins:

 

a) une description systématique des traitements envisagés, les finalités du traitement et, le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement;

 

b) une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités;

 

c) une évaluation des risques pour les droits et libertés des personnes concernées, notamment du risque de discrimination inhérent au traitement ou que celui-ci pourrait accentuer;

 

d) une description des mesures envisagées pour faire face aux risques et réduire au maximum le volume de données à caractère personnel traité;

 

e) une liste des garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel, comme la pseudonymisation, et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées;

 

f) une indication générale des délais impartis pour l'effacement des différentes catégories de données;

 

h) une explication des pratiques de protection des données dès la conception et par défaut visées à l'article 23 qui ont été mises en œuvre;

 

i) une liste des destinataires ou des catégories de destinataires des données à caractère personnel;

 

j) le cas échéant, une liste des transferts de données prévus vers un pays tiers ou une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées;

 

k) une évaluation du contexte du traitement des données.

 

3 bis. Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact.

 

3 ter. L'analyse est documentée et établit un calendrier des examens périodiques de la conformité de la protection des données, au titre de l'article 33 bis, paragraphe 1. L'analyse est mise à jour sans retard indu si les résultats de l'examen de la conformité de la protection des données visé à l'article 33 bis font apparaître des lacunes. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'analyse à la disposition de l'autorité de contrôle, à la demande de celle-ci.

4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements.

 

5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.

 

6. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.

 

7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

(Une partie du paragraphe 3 du texte de la Commission est reprise aux points a), c), d) et e) dans l'amendement du Parlement.)

Amendement  130

Proposition de règlement

Article 33 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 33 bis

 

Examen de la conformité de la protection des données

 

1. Deux ans au plus tard après avoir effectué une analyse d'impact conformément à l'article 33, paragraphe 1, le responsable du traitement ou le sous-traitant agissant pour le compte de ce dernier procède à un examen de conformité. Celui-ci démontre que le traitement des données à caractère personnel est effectué conformément à l'analyse d'impact relative à la protection des données.

 

2. L'examen de conformité est réalisé périodiquement, au moins tous les deux ans, ou immédiatement si un changement intervient dans les risques spécifiques présentés par les traitements.

 

3. Lorsque les résultats de l'examen de conformité font apparaître des lacunes, l'examen de conformité comporte des recommandations pour y remédier.

 

4. L'examen de conformité et ses recommandations sont documentés. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'examen de conformité à la disposition de l'autorité de contrôle, à la demande de celle-ci.

 

5. Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'examen de la conformité.

Amendement  131

Proposition de règlement

Article 34

Texte proposé par la Commission

Amendement

Autorisation et consultation préalables

Consultation préalable

1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

 

2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:

2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent le délégué à la protection des données ou, dans l'éventualité où il n'aurait pas été désigné de délégué à la protection des données, l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:

a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou

a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou

b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.

b) lorsque le délégué à la protection des données ou l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.

3. Lorsque l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

3. Lorsque l'autorité de contrôle compétente détermine, conformément à ses attributions, que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

4. L'autorité de contrôle établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données.

4. Le comité européen de la protection des données établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2.

5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste.

 

6. Le responsable du traitement ou le sous-traitant fournissent à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

6. Le responsable du traitement ou le sous-traitant fournissent, sur demande, à l'autorité de contrôle l'analyse d'impact relative à la protection des données conformément à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a).

 

9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

Amendement 132

Proposition de règlement

Article 35

Texte proposé par la Commission

Amendement

Désignation du délégué à la protection des données

Désignation du délégué à la protection des données

1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque:

1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité ou un organisme publics; ou

a) le traitement est effectué par une autorité ou un organisme publics; ou

b) le traitement est effectué par une entreprise employant 250 personnes ou plus; ou

b) le traitement est effectué par une personne morale et porte sur plus de 5 000 personnes concernées sur une période de douze mois consécutifs; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées; ou

 

d) les activités de base du responsable du traitement ou du sous-traitant consistent à traiter les catégories particulières de données visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur.

2. Dans le cas visé au paragraphe 1, point b), un groupe d'entreprises peut désigner un délégué à la protection des données unique.

2. Un groupe d'entreprises peut désigner un délégué principal à la protection des données, après s'être assuré qu'il est facile d'avoir accès à un délégué à la protection des données sur chaque lieu d'établissement.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données.

5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.

5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.

6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts.

6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts.

7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.

7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de quatre ans lorsqu'il s'agit d'un salarié ou de deux ans lorsqu'il s'agit d'un prestataire externe. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.

8. Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous-traitant, ou accomplir ses tâches sur la base d'un contrat de service.

8. Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous-traitant, ou accomplir ses tâches sur la base d'un contrat de service.

9. Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public.

9. Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public.

10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement.

10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement.

11. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5.

 

Amendement  133

Proposition de règlement

Article 36

Texte proposé par la Commission

Amendement

Fonction du délégué à la protection des données

Fonction du délégué à la protection des données

1. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel.

1. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel.

2. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction du responsable du traitement ou du sous-traitant.

2. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction exécutive du responsable du traitement ou du sous-traitant. Le responsable du traitement ou le sous-traitant désignent à cette fin un membre de la direction exécutive chargé de veiller au respect des dispositions du présent règlement.

3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l’article 37.

3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent toutes les ressources, notamment le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l’article 37 et au maintien de ses connaissances professionnelles.

 

4. Les délégués à la protection des données sont tenus au secret professionnel pour ce qui est de l'identité des personnes concernées et des circonstances permettant à celles-ci d'être identifiées, à moins que la personne concernée ne les décharge de cette obligation.

Amendement  134

Proposition de règlement

Article 37

Texte proposé par la Commission

Amendement

Missions du délégué à la protection des données

Missions du délégué à la protection des données

1. Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes:

Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement et conserver une trace documentaire de cette activité et des réponses reçues;

a) sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement, notamment en ce qui concerne les mesures et procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues;

b) contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

b) contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement;

c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement;

d) veiller à ce que la documentation visée à l’article 28 soit tenue à jour;

d) veiller à ce que la documentation visée à l’article 28 soit tenue à jour;

e) contrôler la documentation, la notification et la communication, prévues aux articles 31 et 32, et relatives aux violations de données à caractère personnel;

e) contrôler la documentation, la notification et la communication, prévues aux articles 31 et 32, et relatives aux violations de données à caractère personnel;

f) vérifier que le responsable du traitement ou le sous-traitant a réalisé l’analyse d’impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises au titre des articles 33 et 34;

f) vérifier que le responsable du traitement ou le sous-traitant a réalisé l'analyse d'impact relative à la protection des données, et que les demandes de consultation préalable ont été introduites, si elles sont requises au titre des articles 32 bis, 33 et 34;

 

g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative.

h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative.

 

i) veiller au respect du présent règlement eu égard au mécanisme de consultation préalable établi à l'article 34;

 

j) informer les représentants des salariés au sujet du traitement des données des salariés.

2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1.

 

Amendement  135

Proposition de règlement

Article 38

Texte proposé par la Commission

Amendement

Codes de conduite

Codes de conduite

1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment:

1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite ou l'adoption de codes de conduite élaborés par une autorité de contrôle destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment:

a) le traitement loyal et transparent des données;

a) le traitement loyal et transparent des données;

 

a bis) le respect des droits du consommateur;

b) la collecte des données;

b) la collecte des données;

c) l'information du public et des personnes concernées;

c) l'information du public et des personnes concernées;

d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits;

d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits;

e) l'information et la protection des enfants;

e) l'information et la protection des enfants;

f) le transfert de données vers des pays tiers ou à des organisations internationales;

f) le transfert de données vers des pays tiers ou à des organisations internationales;

g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent;

g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent;

h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75.

h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75.

2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L’autorité de contrôle peut rendre un avis sur la conformité, avec le présent règlement, du projet de code de conduite ou de la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets.

2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L'autorité de contrôle rend, en temps utile, un avis sur la conformité, avec le présent règlement, du traitement effectué conformément au projet de code de conduite ou de la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets.

3. Les associations et les autres organisations représentant des catégories de responsables du traitement dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants.

3. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants.

4. La Commission peut adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont d’applicabilité générale sur le territoire de l'Union. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

4. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 86 afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont conformes au présent règlement et d'applicabilité générale sur le territoire de l'Union. Ces actes délégués confèrent aux personnes concernées des droits opposables.

5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4.

5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4.

Amendement  136

Proposition de règlement

Article 39

Texte proposé par la Commission

Amendement

Certification

Certification

1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements.

 

 

1 bis. Tout responsable du traitement ou sous-traitant peut demander à n'importe quelle autorité de contrôle dans l'Union de certifier, moyennant le paiement de frais raisonnables tenant compte des coûts administratifs, que le traitement des données à caractère personnel est exécuté conformément au présent règlement, notamment aux principes énoncés aux articles 5, 23 et 30, et dans le respect des obligations du responsable du traitement et du sous-traitant, ainsi que des droits des personnes concernées.

 

1 ter. La certification est volontaire, abordable et disponible au travers d'un processus transparent et ne présentant pas de complications injustifiées.

 

1 quater. Les autorités de contrôle et le comité européen de la protection des données coopèrent dans le cadre du mécanisme de contrôle de la cohérence conformément à l'article 57 en vue de garantir un mécanisme de certification harmonisé en matière de protection des données, y compris des redevances harmonisées, au sein de l'Union.

 

1 quinquies. Pendant la procédure de certification, l'autorité de contrôle peut agréer des auditeurs tiers spécialisés pour effectuer en son nom l'audit du responsable du traitement ou du sous-traitant. Les auditeurs tiers disposent de personnel suffisamment qualifié, sont impartiaux et libres de tout conflit d'intérêts par rapport à leurs fonctions. Les autorités de contrôle révoquent l'agrément lorsqu'il existe des raisons de croire que l'auditeur ne remplit pas correctement ses fonctions. La certification finale est octroyée par l'autorité de contrôle.

 

1 sexies. Les autorités de contrôle octroient aux responsables du traitement et aux sous-traitants qui, en application de la procédure d'audit, ont obtenu la certification attestant que le traitement des données à caractère personnel auquel ils procèdent est conforme au présent règlement, la marque standardisée de protection des données "label européen de protection des données".

 

1 septies. Le "label européen de protection des données" est valide tant que les opérations de traitement des données exécutées par le responsable du traitement ou le sous-traitant certifié continuent d'être entièrement conformes au présent règlement.

 

1 octies. Sans préjudice du paragraphe 1 septies, la certification est valide pendant un maximum de cinq ans.

 

1 nonies. Le comité européen de la protection des données établit un registre électronique public permettant au public de consulter tous les certificats, valides et invalides, délivrés dans l'État membre.

 

1 decies. Le comité européen de la protection des données peut, de sa propre initiative, certifier qu'une norme technique renforçant la protection des données est conforme au présent règlement.

2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1, y compris les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers.

2. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données et avoir consulté les parties prenantes, en particulier l'industrie et des organisations non gouvernementales, des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés aux paragraphes 1 bis à 1 nonies, y compris les exigences en matière d'agrément des auditeurs, les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers. Ces actes délégués confèrent aux personnes concernées des droits opposables.

 

3. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

 

Amendement  137

Proposition de règlement

Article 41

Texte proposé par la Commission

Amendement

Transferts assortis d’une décision relative au caractère adéquat du niveau de protection

Transferts assortis d’une décision relative au caractère adéquat du niveau de protection

1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation.

1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:

a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, ainsi que la mise en œuvre de la présente législation, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, les précédents jurisprudentiels ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres, et

b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, y compris à l'aide de pouvoirs de sanction suffisants, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres; et

c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question.

c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant en matière de protection des données à caractère personnel.

3. La Commission peut constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 afin de constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Ces actes délégués prévoient une clause de suppression automatique lorsqu'ils concernent un secteur de traitement de données et sont révoqués conformément au paragraphe 5 dès lors qu'un niveau adéquat de protection des données conforme au présent règlement n'est plus garanti.

4. L'acte d'exécution précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

4. L'acte délégué précise son champ d'application territorial et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

 

4 bis. La Commission suit, de manière permanente, les événements dans les pays tiers et dans les organisations internationales susceptibles de porter atteinte au respect des éléments visés au paragraphe 2 pour lesquels un acte délégué a été adopté conformément au paragraphe 3.

5. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 87, paragraphe 3.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins de constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas ou plus un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées.

6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5.

6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5.

 

6 bis. Avant d'adopter un acte délégué conformément aux paragraphes 3 et 5, la Commission invite le comité européen de la protection des données à soumettre un avis sur le caractère suffisant du niveau de protection. À cette fin, la Commission fournit au comité européen de la protection des données toute la documentation nécessaire, y compris la correspondance avec le gouvernement du pays tiers, un territoire ou un secteur du traitement dans ce pays tiers, ou une organisation internationale.

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

7. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par la Commission.

8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à cinq ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par la Commission avant la fin de cette période.

Amendement  138

Proposition de règlement

Article 42

Texte proposé par la Commission

Amendement

Transferts moyennant des garanties appropriées

Transferts moyennant des garanties appropriées

1. Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, ou lorsqu'elle décide qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données conformément au paragraphe 5 dudit article, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale est impossible, à moins que le responsable du traitement ou le sous-traitant n'ait offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:

2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:

a) des règles d'entreprise contraignantes conformes à l'article 43; ou

a) des règles d'entreprise contraignantes conformes à l'article 43; ou

 

a bis) un "label européen de protection des données" octroyé au responsable du traitement et au destinataire, conformément au paragraphe 1 sexies de l'article 39; ou

b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2; ou

 

c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b); ou

c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b); ou

d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.

d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.

3. Un transfert effectué en vertu de clauses types de protection des données ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), b) ou c), ne nécessite pas d'autre autorisation.

3. Un transfert effectué en vertu de clauses types de protection des données, d'un "label européen de protection des données" ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), a bis) ou c), ne nécessite pas d'autorisation spécifique.

4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.

4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle. Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.

5. Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous-traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle.

5. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à deux ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par la même autorité de contrôle avant la fin de cette période.

Amendement 139

Proposition de règlement

Article 43

Texte proposé par la Commission

Amendement

Transferts encadrés par des règles d'entreprise contraignantes

Transferts encadrés par des règles d'entreprise contraignantes

1. Une autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:

1. L'autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:

a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous-traitant, y compris à leurs salariés, et que lesdites entités en assurent le respect;

a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement et aux sous-traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes, y compris à leurs salariés, et que lesdites entités en assurent le respect;

b) qu'elles confèrent expressément aux personnes concernées des droits opposables;

b) qu'elles confèrent expressément aux personnes concernées des droits opposables;

c) qu'elles respectent les exigences prévues au paragraphe 2.

c) qu'elles respectent les exigences prévues au paragraphe 2.

 

1 bis. Concernant les données de l'emploi, les représentants des salariés sont informés de l'élaboration de règles d'entreprise contraignantes et, conformément au droit et aux pratiques nationales et de l'Union, y sont associés.

2. Les règles d'entreprise contraignantes précisent au moins:

2. Les règles d'entreprise contraignantes précisent au moins:

a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent;

a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent, et les sous-traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes;

b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

c) leur nature juridiquement contraignante, tant interne qu'externe;

c) leur nature juridiquement contraignante, tant interne qu'externe;

d) les principes généraux de protection des données, notamment la limitation de la finalité, la qualité des données, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question;

d) les principes généraux de protection des données, notamment la limitation de la finalité, la limitation des données, la réduction de la durée de conservation des données, la qualité des données, la protection des données dès la conception et par défaut, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question;

e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

f) l'acceptation, par le responsable du traitement établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d'entreprises non établie dans l'Union; le responsable du traitement ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11;

g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11;

h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;

h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;

i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;

i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;

j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;

j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;

k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i).

k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i).

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage le format, les procédures, les critères et les exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, y compris la transparence pour les personnes concernées, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question.

4. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

 

Amendement  140

Proposition de règlement

Article 43 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 43 bis

 

Transferts ou divulgations non autorisés par la législation de l'Union

 

1. Aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il divulgue des données à caractère personnel n'est reconnue ni rendue exécutoire de quelque manière que ce soit, sans préjudice d'un traité d'assistance juridique mutuelle ou d'un accord international en vigueur entre le pays tiers demandeur et l'Union ou un État membre.

 

2. Lorsque la décision d'une cour, d'un tribunal ou d'une autorité administrative d'un pays tiers demande à un responsable du traitement ou à un sous-traitant de divulguer des données à caractère personnel, le responsable du traitement ou le sous-traitant et, le cas échéant, le représentant du responsable, en informent sans délai injustifié l'autorité de contrôle et doivent obtenir auprès de cette dernière une autorisation préalable pour le transfert ou la divulgation des données.

 

3. L'autorité de contrôle évalue la conformité de la divulgation demandée avec le règlement et notamment si la divulgation est nécessaire et exigée d'un point de vue légal conformément à l'article 44, paragraphe 1, points d) et e), et à l'article 44, paragraphe 5. Lorsque des personnes concernées sont affectées dans d'autres États membres, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57.

 

4. L'autorité de contrôle porte la demande à la connaissance de l'autorité nationale compétente. Sans préjudice de l'article 21, le responsable du traitement ou le sous-traitant informent également les personnes concernées de cette demande et de l'autorisation accordée par l'autorité de contrôle, et, le cas échéant, informent la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs, conformément au point h bis) du paragraphe 1 de l'article 14.

Amendement  141

Proposition de règlement

Article 44

Texte proposé par la Commission

Amendement

Dérogations

Dérogations

1. En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41 ou de garanties appropriées conformément à l’article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que:

1. En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41 ou de garanties appropriées conformément à l’article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que:

a) la personne concernée ait consenti au transfert envisagé, après avoir été informée des risques du transfert en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; ou

a) la personne concernée ait consenti au transfert envisagé, après avoir été informée des risques du transfert en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; ou

b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou

b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou

c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale; ou

c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale; ou

d) le transfert soit nécessaire pour des motifs importants d'intérêt général; ou

d) le transfert soit nécessaire pour des motifs importants d'intérêt général; ou

e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou

e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou

f) le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; ou

f) le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; ou

g) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions du droit de l'Union ou des États membres, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions prévues dans le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier; ou

g) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions du droit de l'Union ou des États membres, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions prévues dans le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier.

h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous-traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif et que le responsable du traitement ou le sous-traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu.

 

2. Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires.

2. Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires.

3. Lorsque le traitement s'effectue en vertu du paragraphe 1, point h), le responsable du traitement ou le sous-traitant prend particulièrement en considération la nature des données, la finalité et la durée du ou des traitements envisagés, ainsi que la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et offre des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu.

 

4. Les points b), c) et h) du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique.

4. Les points b) et c) du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique.

5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement.

5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement.

6. Le responsable du traitement ou le sous-traitant atteste la matérialité, dans la documentation visée à l'article 28, de l'évaluation et des garanties appropriées offertes visées au paragraphe 1, point h), et informe l'autorité de contrôle du transfert.

 

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les "motifs importants d'intérêt général" au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues au paragraphe 1, point h).

7. Le comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 aux fins de préciser davantage les critères et exigences applicables aux transferts de données sur la base du paragraphe 1.

Amendement  142

Proposition de règlement

Article 45 – paragraphe 1 – point a

Texte proposé par la Commission

Amendement

a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter l’application de la législation relative à la protection des données à caractère personnel;

a) élaborer des mécanismes de coopération internationaux efficaces destinés à garantir l'application de la législation relative à la protection des données à caractère personnel;

Amendement  143

Proposition de règlement

Article 45 – paragraphe 1 – point d bis (nouveau)

Texte proposé par la Commission

Amendement

 

d bis) clarifier les conflits juridictionnels avec les pays tiers et consulter ces derniers à ce sujet.

Amendement  144

Proposition de règlement

Article 45 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 45 bis

 

Rapport de la Commission

 

La Commission transmet au Parlement européen et au Conseil, à intervalles réguliers, à compter de quatre ans après la date mentionnée à l'article 91, paragraphe 1, au plus tard, un rapport sur l'application des articles 40 à 45. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, lesquelles sont fournies sans délai injustifié. Ce rapport est rendu public.

Amendement  145

Proposition de règlement

Article 47 – paragraphe 1

Texte proposé par la Commission

Amendement

1. L'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés.

1. L'autorité de contrôle exerce en toute indépendance et impartialité les missions et les pouvoirs qui lui sont confiés, sans préjudice des dispositions relatives à la coopération et à la cohérence visées au chapitre VII du présent règlement.

Amendement  146

Proposition de règlement

Article 47 – paragraphe 7 bis (nouveau)

Texte proposé par la Commission

Amendement

 

7 bis. Chaque État membre veille à ce que l'autorité de contrôle soit responsable devant le parlement national pour des raisons de contrôle budgétaire.

Amendement  147

Proposition de règlement

Article 50

Texte proposé par la Commission

Amendement

Secret professionnel

Secret professionnel

Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles.

Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, tout en menant leurs missions en toute indépendance et en toute transparence conformément aux dispositions du présent règlement.

Amendement 148

Proposition de règlement

Article 51 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au présent règlement.

1. Chaque autorité de contrôle est habilitée à remplir les fonctions et à exercer les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève, sans préjudice des articles 73 et 74. Les traitements de données effectués par une autorité publique ne sont contrôlés que par l'autorité de contrôle de cet État membre.

Amendement  149

Proposition de règlement

Article 51 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement.

supprimé

Amendement  150

Proposition de règlement

Article 52 – paragraphe 1 – point b

Texte proposé par la Commission

Amendement

b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

b) reçoit les réclamations introduites par toute personne concernée ou par une association conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

Amendement  151

Proposition de règlement

Article 52 – paragraphe 1 – point d

Texte proposé par la Commission

Amendement

d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou de la réception d'informations spécifiques et documentées invoquant un traitement illicite ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

Amendement  152

Proposition de règlement

Article 52 – paragraphe 1 – point j bis (nouveau)

Texte proposé par la Commission

Amendement

 

j bis) certifie les responsables du traitement et les sous-traitants, conformément à l’article 39.

Amendement  153

Proposition de règlement

Article 52 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.

2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel ainsi qu'aux mesures appropriées de protection des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.

Amendement  154

Proposition de règlement

Article 52 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis. Chaque autorité de contrôle sensibilise, en collaboration avec le comité européen de la protection des données, les responsables du traitement et les sous-traitants aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Cela inclut la tenue d'un registre des sanctions et des violations. Ce registre devrait reprendre de la manière la plus détaillée possible tant l'ensemble des avertissements et sanctions que la résolution des violations. Chaque autorité de contrôle fournit aux responsables du traitement et aux sous-traitants des micro-entreprises et des petites et moyennes entreprises, sur demande, des informations générales concernant leurs responsabilités et obligations en vertu du présent règlement.

Amendement  155

Proposition de règlement

Article 52 – paragraphe 6

Texte proposé par la Commission

Amendement

6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou ne pas prendre les mesures sollicitées par la personne concernée. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande.

6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables ou ne pas prendre les mesures sollicitées par la personne concernée. Ces frais ne dépassent pas les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande.

Amendement  156

Proposition de règlement

Article 53

Texte proposé par la Commission

Amendement

Pouvoirs

Pouvoirs

1. Chaque autorité de contrôle a le pouvoir:

1. En vertu du présent règlement, chaque autorité de contrôle a le pouvoir:

a) d'informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée;

a) d'informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée, ou de donner au responsable du traitement l'instruction de communiquer la violation de données à caractère personnel à la personne concernée;

b) d'ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée;

b) d'ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée;

c) d'ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions;

c) d'ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions;

d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34;

d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34;

e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;

e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;

f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

g) d'interdire temporairement ou définitivement un traitement;

g) d'interdire temporairement ou définitivement un traitement;

h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel;

i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel;

 

i bis) de certifier les responsables du traitement et les sous-traitants, conformément à l’article 39;

j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel.

j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel;

 

j bis) de mettre en place des mécanismes efficaces favorisant la notification confidentielle des cas d'infraction au présent règlement, en tenant compte des instructions formulées par le comité européen de la protection des données conformément à l'article 66, paragraphe 4 ter.

2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant:

2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant sans notification préalable:

a) l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions;

a) l'accès à toutes les données à caractère personnel et à tous les documents et toutes les informations nécessaires à l'exercice de ses fonctions;

b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement, s'il existe un motif raisonnable de supposer qu’il s'y exerce une activité contraire au présent règlement.

b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement.

Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres.

Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres.

3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2.

3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2.

4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l’article 79, paragraphes 4, 5 et 6.

4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, conformément à l'article 79. Ce pouvoir est exercé de manière effective, proportionnée et dissuasive.

Amendement  157

Proposition de règlement

Article 54

Texte proposé par la Commission

Amendement

Chaque autorité de contrôle doit établir un rapport annuel sur son activité. Le rapport est présenté au parlement national; il est rendu public et mis à la disposition de la Commission et du comité européen de la protection des données.

Chaque autorité de contrôle doit établir, au moins une fois tous les deux ans, un rapport sur son activité. Le rapport est présenté au parlement concerné; il est rendu public et mis à la disposition de la Commission et du comité européen de la protection des données.

Amendement  158

Proposition de règlement

Article 54 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 54 bis

 

Autorité chef de file

 

1. Lorsque le traitement de données à caractère personnel a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, ou lorsque des données à caractère personnel de résidents de différents États membres font l’objet de traitements, l’autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est l'autorité chef de file responsable du contrôle des activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, conformément aux dispositions du chapitre VII du présent règlement.

 

2. L'autorité de contrôle chef de file ne prend les mesures qui s'imposent aux fins du contrôle des activités de traitement du responsable du traitement ou du sous-traitant dont elle est responsable qu'après consultation de toutes les autres autorités de contrôle compétentes au sens du premier paragraphe de l'article 51 en vue de parvenir à un consensus. À cette fin, l'autorité chef de file transmet toutes les informations pertinentes et consulte les autres autorités avant d'adopter toute mesure destinée à produire des effets juridiques vis-vis d'un responsable du traitement ou d'un sous-traitant au sens du paragraphe 1 de l'article 51. L'autorité chef de file prend pleinement en considération les avis des autorités concernées. L'autorité chef de file est la seule autorité habilitée à prendre des décisions concernant les mesures destinées à produire des effets juridiques vis-vis des activités de traitement du responsable du traitement ou du sous-traitant dont elle est responsable.

 

3. Le comité européen de la protection des données émet, à la demande d'une autorité de contrôle compétente, un avis sur l'identification de l'autorité chef de file responsable d'un responsable du traitement ou d'un sous-traitant dans les cas suivants:

 

a) les éléments du dossier ne permettent pas de déterminer clairement le lieu où se situe l'établissement principal du responsable du traitement ou du sous-traitant; ou

 

b) les autorités compétentes ne s'accordent pas sur le choix d'une autorité de contrôle comme autorité chef de file; ou

 

c) le responsable du traitement n'est pas établi dans l'Union et des résidents de différents États membres sont concernés par les opérations de traitement dans le cadre du champ d'application du présent règlement.

 

3 bis. Lorsque le responsable du traitement exerce également des activités en tant que sous-traitant, l'autorité de contrôle du lieu où se situe l'établissement principal du responsable du traitement joue le rôle d'autorité chef de file pour le contrôle des activités de traitement.

 

4. Le comité européen de la protection des données peut décider de l'identification de l'autorité chef de file.

(Le premier paragraphe de l'amendement du Parlement se fonde sur l'article 51, paragraphe 2, de la proposition de la Commission.)

Amendement  159

Proposition de règlement

Article 55 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements.

1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et les enquêtes, et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque le responsable du traitement ou le sous-traitant possède des établissements dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements. L’autorité chef de file définie à l’article 54 bis assure la coordination avec les autorités compétentes impliquées et sert d’interlocuteur unique pour le responsable du traitement ou le sous-traitant.

Amendement  160

Proposition de règlement

Article 55 – paragraphe 7

Texte proposé par la Commission

Amendement

7. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais.

7. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais pour l’autorité de contrôle requérante.

Amendement  161

Proposition de règlement

Article 55 – paragraphe 8

Texte proposé par la Commission

Amendement

8. Lorsqu'une autorité de contrôle ne donne pas suite, dans un délai d’un mois, à la demande d'une autre autorité de contrôle, l'autorité de contrôle requérante a compétence pour adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l'article 51, paragraphe 1, et saisit le comité européen de la protection des données de l'affaire conformément à la procédure prévue à l'article 57.

8. Lorsqu'une autorité de contrôle ne donne pas suite, dans un délai d’un mois, à la demande d'une autre autorité de contrôle, l'autorité de contrôle requérante a compétence pour adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l'article 51, paragraphe 1, et saisit le comité européen de la protection des données de l'affaire conformément à la procédure prévue à l'article 57. Elle peut adopter des mesures provisoires conformément à l'article 53 sur le territoire de l'État membre dont elle relève lorsqu'il n'est pas encore possible d'adopter une mesure définitive parce que la demande d'assistance n'a pas encore été acceptée.

Amendement  162

Proposition de règlement

Article 55 – paragraphe 9

Texte proposé par la Commission

Amendement

9. L'autorité de contrôle précise la durée de validité de la mesure provisoire ainsi adoptée. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission.

9. L'autorité de contrôle précise la durée de validité de la mesure provisoire ainsi adoptée. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission, conformément à la procédure visée à l'article 57.

Amendement  163

Proposition de règlement

Article 55 – paragraphe 10

Texte proposé par la Commission

Amendement

10. La Commission peut préciser la forme et les procédures de l'assistance mutuelle objet du présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre les autorités de contrôle et le comité européen de la protection des données, notamment le formulaire type mentionné au paragraphe 6. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

10. Le comité européen de la protection des données peut préciser la forme et les procédures de l'assistance mutuelle objet du présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre les autorités de contrôle et le comité européen de la protection des données, notamment le formulaire type mentionné au paragraphe 6.

Amendement  164

Proposition de règlement

Article 56 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Dans les cas où des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements, une autorité de contrôle de chacun des États membres en cause a le droit de participer aux missions d'enquête conjointes ou aux opérations conjointes, selon le cas. L'autorité de contrôle compétente invite l'autorité de contrôle de chacun de ces États membres à prendre part aux missions d'enquête conjointes ou aux opérations conjointes en cause et donne suite sans délai à toute demande d’une autorité de contrôle souhaitant participer aux opérations.

2. Dans les cas où le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements, une autorité de contrôle de chacun des États membres en cause a le droit de participer aux missions d'enquête conjointes ou aux opérations conjointes, selon le cas. L'autorité chef de file visée à l'article 54 bis fait participer l'autorité de contrôle de chacun de ces États membres aux missions d'enquête conjointes ou aux opérations conjointes en cause et donne suite sans délai à toute demande d’une autorité de contrôle souhaitant participer aux opérations. L’autorité chef de file sert d’interlocuteur unique pour le responsable du traitement ou le sous-traitant.

Amendement  165

Proposition de règlement

Article 57

Texte proposé par la Commission

Amendement

Mécanisme de contrôle de la cohérence

Mécanisme de contrôle de la cohérence

Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section.

Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence, tant sur des questions de portée générale que dans des cas particuliers, conformément aux dispositions de la présente section.

Amendement  166

Proposition de règlement

Article 58

Texte proposé par la Commission

Amendement

Avis du comité européen de la protection des données

Cohérence des questions d'application générale

1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission.

1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission.

2. L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui:

2. L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui:

a) se rapporte aux traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l’observation de leur comportement; ou

 

b) est susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union; ou

 

c) vise à l'adoption d'une liste des traitements devant faire l'objet d'une consultation préalable conformément à l’article 34, paragraphe 5, ou

 

d) vise à la détermination de clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c), ou

d) vise à la détermination de clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c), ou

e) vise à l'autorisation de clauses contractuelles telles que celles visées à l'article 42, paragraphe 2, point d), ou

e) vise à l'autorisation de clauses contractuelles telles que celles visées à l'article 42, paragraphe 2, point d), ou

f) vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43.

f) vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43.

3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56.

3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question d'application générale soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56.

4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question soit examinée dans le cadre du mécanisme de contrôle de la cohérence.

4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question d'application générale soit examinée dans le cadre du mécanisme de contrôle de la cohérence.

5. Les autorités de contrôle et la Commission communiquent par voie électronique, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure.

5. Les autorités de contrôle et la Commission communiquent par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure.

6. Le président du comité européen de la protection des données transmet sans délai aux membres du comité européen de la protection des données et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le président du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles.

6. Le président du comité européen de la protection des données transmet sans retard injustifié aux membres de ce comité et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le secrétariat du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles.

 

6 bis. Le comité européen de la protection des données adopte un avis sur les questions visées au paragraphe 2.

7. Si ses membres en décident ainsi à la majorité simple, ou à la demande de toute autorité de contrôle ou de la Commission, le comité européen de la protection des données émet un avis sur l'affaire dans un délai d'une semaine après la communication des informations utiles conformément au paragraphe 5. L'avis est adopté dans un délai d’un mois à la majorité simple des membres du comité européen de la protection des données. Le président du comité européen de la protection des données informe sans retard indu l’autorité de contrôle visée, selon le cas, au paragraphe 1 ou au paragraphe 3, la Commission et l'autorité de contrôle compétente en vertu de l'article 51 de l'avis et le publie.

7. Le comité européen de la protection des données peut décider à la majorité simple d'adopter un avis sur toute question soumise en application des paragraphes 3 et 4 en tenant compte des éléments suivants:

 

a) le caractère novateur de certains éléments de la question, compte étant tenu des évolutions juridiques et factuelles, en particulier dans le domaine des technologies de l'information et à la lumière des progrès de la société de l'information; et

 

b) l'existence d'un avis déjà émis par le comité européen de la protection des données sur la même question.

8. L’autorité de contrôle visée au paragraphe 1 et l'autorité de contrôle compétente en vertu de l'article 51 tiennent compte de l'avis du comité européen de la protection des données et communiquent par voie électronique au président du conseil européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elles maintiennent ou modifient le projet de mesure, et, le cas échéant, communiquent le projet de mesure modifié, au moyen d'un formulaire type.

8. Le comité européen de la protection des données adopte des avis en application des paragraphes 6 bis et 7 à la majorité simple de ses membres. Ces avis sont rendus publics.

Amendement 167

Proposition de règlement

Article 58 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 58 bis

 

Cohérence des cas particuliers

 

1. Avant d'adopter toute mesure destinée à produire des effets juridiques au sens de l'article 54 bis, l'autorité chef de file partage toutes informations utiles et soumet le projet de mesure à l'ensemble des autres autorités compétentes. Si dans un délai de trois semaines, une autorité compétente a fait savoir qu'elle avait des objections majeures à la mesure concernée, l'autorité chef de file ne l'adopte pas.

 

2. Lorsqu'une autorité compétente a indiqué avoir des objections majeures au projet de mesure de l'autorité chef de file, ou lorsque l'autorité chef de file omet de soumettre pour examen un projet de mesure tel que visé au premier paragraphe ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56, la question est examinée par le comité européen de la protection des données.

 

3. L'autorité chef de file et/ou toute autre autorité compétente concernée ainsi que la Commission communiquent au comité européen de la protection des données, par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure, les motifs rendant nécessaire l'adoption de la mesure, les objections qu'elle suscite et les avis des autres autorités de contrôle concernées.

 

4. Le comité européen de la protection des données examine la question, en tenant compte des retombées du projet de mesure de l'autorité chef de file sur les droits et les libertés fondamentaux des personnes concernées, et décide à la majorité simple de ses membres d'émettre ou non un avis en la matière dans un délai de deux semaines à compter de la réception des informations utiles fournies conformément au paragraphe 3.

 

5. Si le comité européen de la protection des données décide d'émettre un avis, il dispose à cette fin d'un délai de six semaines et rend cet avis public.

 

6. L'autorité chef de file tient dûment compte de l'avis du comité européen de la protection des données et communique par voie électronique au président du comité européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elle maintient ou modifie le projet de mesure, et, le cas échéant, communique le projet de mesure modifié, au moyen d'un formulaire type. Lorsque l'autorité chef de file n'entend pas se conformer à l'avis du comité européen de la protection des données, elle fournit une justification motivée.

 

7. Lorsque le comité européen de la protection des données s'oppose toujours à la mesure de l'autorité de contrôle visée au paragraphe 5, il peut adopter, dans un délai d'un mois et à une majorité des deux tiers, une mesure qui sera contraignante pour l'autorité de contrôle.

Amendement  168

Proposition de règlement

Article 59

Texte proposé par la Commission

Amendement

Article 59

supprimé

Avis de la Commission

 

1. Dans un délai de dix semaines à compter de la date à laquelle une question a été soulevée conformément à l’article 58, ou au plus tard dans un délai de six semaines dans le cas visé à l'article 61, la Commission peut, afin d’assurer l’application correcte et cohérente du présent règlement, adopter un avis sur les questions soulevées conformément aux articles 58 ou 61.

 

2. Lorsque la Commission a adopté un avis en vertu du paragraphe 1, l'autorité de contrôle concernée tient le plus grand compte de l’avis de la Commission et indique à la Commission et au comité européen de la protection des données si elle entend maintenir ou modifier son projet de mesure.

 

3. Pendant le délai visé au paragraphe 1, l’autorité de contrôle s'abstient d'adopter le projet de mesure.

 

4. Lorsque l'autorité de contrôle concernée n'entend pas se conformer à l'avis de la Commission, elle en informe la Commission et le comité européen de la protection des données dans le délai visé au paragraphe 1 et motive sa décision. Dans cette éventualité, l'autorité de contrôle s'abstient d'adopter le projet de mesure pendant un délai supplémentaire d’un mois.

 

Amendement  169

Proposition de règlement

Article 60

Texte proposé par la Commission

Amendement

Article 60

supprimé

Suspension d’un projet de mesure

 

1. Dans un délai d'un mois à compter de la communication prévue à l’article 59, paragraphe 4, et lorsque la Commission nourrit des doutes sérieux quant à savoir si le projet de mesure permet de garantir la bonne application du présent règlement ou s'il est susceptible, au contraire, d'aboutir à une application non cohérente de celui-ci, la Commission, en tenant compte de l'avis formulé par le comité européen de la protection des données conformément à l'article 58, paragraphe 7, ou à l'article 61, paragraphe 2, peut adopter une décision motivée enjoignant à l'autorité de contrôle de suspendre l'adoption du projet de mesure lorsqu'une telle suspension apparaît requise pour:

 

a) rapprocher les positions divergentes de l'autorité de contrôle et du comité européen de la protection des données, si un tel rapprochement apparaît encore possible; or

 

b) adopter une mesure en vertu de l'article 62, paragraphe 1, point a).

 

2. La Commission précise la durée de la suspension, qui ne peut excéder douze mois.

 

3. Pendant le délai visé au paragraphe 2, l'autorité de contrôle ne peut pas adopter le projet de mesure.

 

Amendement  170

Proposition de règlement

Article 60 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 60 bis

 

Information du Parlement européen et du Conseil

 

Sur la base d’un rapport du président du comité européen de la protection des données, la Commission informe régulièrement le Parlement européen et le Conseil, au moins une fois tous les six mois, des questions traitées dans le cadre du mécanisme de contrôle de la cohérence et fait part des conclusions de la Commission et du comité européen de la protection des données pour garantir l’exécution et l’application cohérente du présent règlement.

Amendement  171

Proposition de règlement

Article 61 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission.

1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58 bis, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission.

Amendement  172

Proposition de règlement

Article 61 – paragraphe 4

Texte proposé par la Commission

Amendement

4. Par dérogation à l'article 58, paragraphe 7, un avis d'urgence tel que celui visé aux paragraphes 2 et 3 est adopté dans un délai de deux semaines à la majorité simple des membres du comité européen de la protection des données.

4. Un avis d'urgence tel que celui visé aux paragraphes 2 et 3 est adopté dans un délai de deux semaines à la majorité simple des membres du comité européen de la protection des données.

Amendement  173

Proposition de règlement

Article 62

Texte proposé par la Commission

Amendement

Actes d'exécution

Actes d'exécution

1. La Commission peut adopter des actes d'exécution pour:

1. La Commission peut adopter des actes d'exécution d'application générale, après avoir demandé l’avis du comité européen de la protection des données, pour:

a) statuer sur l'application correcte du présent règlement conformément à ses objectifs et exigences quant aux questions soulevées par les autorités de contrôle conformément à l'article 58 ou à l'article 61, quant à une question au sujet de laquelle une décision motivée a été adoptée en vertu de l'article 60, paragraphe 1, ou quant à une affaire dans laquelle une autorité de contrôle omet de soumettre pour examen un projet de mesure et a indiqué qu'elle n'entendait pas se conformer à l'avis de la Commission adopté en vertu de l'article 59;

 

b) statuer, dans le délai fixé à l’article 59, paragraphe 1, sur l'applicabilité générale de projets de clauses types de protection des données telles que celles visées à l’article 58, paragraphe 2, point d);

b) statuer sur l'applicabilité générale de projets de clauses types de protection des données telles que celles visées à l’article 42, paragraphe 2, point d);

c) définir la forme et les procédures d’application du mécanisme de contrôle de la cohérence prévu par la présente section;

 

d) définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8.

d) définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8.

Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 

2. Pour des raisons impérieuses d’urgence dûment justifiées, tenant aux intérêts de personnes concernées dans les cas visés au paragraphe 1, point a), la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 87, paragraphe 3. Ces actes restent en vigueur pendant une période n'excédant pas douze mois.

 

3. L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités.

3. L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités.

Amendement  174

Proposition de règlement

Article 63 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Lorsqu'une autorité de contrôle omet de soumettre un projet de mesure pour examen dans le cadre du mécanisme de contrôle de la cohérence en violation de l'article 58, paragraphes 1 à 5, la mesure de l'autorité de contrôle est dénuée de validité juridique et de caractère exécutoire.

2. Lorsqu'une autorité de contrôle omet de soumettre un projet de mesure pour examen dans le cadre du mécanisme de contrôle de la cohérence en violation de l'article 58, paragraphes 1 et 2 ou adopte une mesure malgré la notification d'objection majeure conformément au premier paragraphe de l'article 58 bis, la mesure de l'autorité de contrôle est dénuée de validité juridique et de caractère exécutoire.

Amendement  175

Proposition de règlement

Article 66

Texte proposé par la Commission

Amendement

Missions du comité européen de la protection des données

Missions du comité européen de la protection des données

1. Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande de la Commission, a notamment pour mission:

1. Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande du Parlement européen, du Conseil ou de la Commission, a notamment pour mission:

a) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement;

a) de conseiller les institutions européennes sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement;

b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement;

b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande du Parlement européen, du Conseil ou de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement, y compris sur l’usage des pouvoirs d’exécution;

c) de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures;

c) de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures;

d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57;

d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57;

 

d bis) d’émettre un avis sur la question de savoir quelle autorité qui devrait être l’autorité chef de file, conformément à l’article 54 bis, paragraphe 3;

e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle;

e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination d'opérations conjointes et d'autres activités conjointes, lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle;

f) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

f) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

g) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données.

g) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données.

 

g bis) de donner son avis à la Commission lors de la préparation des actes délégués et des actes d’exécution basés sur ce règlement;

 

g ter) d’émettre un avis sur les codes de conduites élaborés au niveau de l’Union en application du paragraphe 4 de l'article 38;

 

g quater) de faire connaître son avis sur les critères et les exigences applicables aux mécanismes de certification en matière de protection des données en vertu du paragraphe 3 de l'article 39;

 

g quinquies) de tenir un registre électronique public des certificats valides et invalides conformément au paragraphe 1 nonies de l'article 39;

 

g sexies) de prêter une assistance aux autorités nationales de contrôle, si elles en font la demande;

 

g septies) d'établir et de rendre publique une liste des opérations de traitement devant faire l’objet d’une consultation préalable au titre de l'article 34;

 

g octies) de tenir un registre des sanctions imposées aux responsables du traitement et aux sous-traitants par les autorités de contrôle compétentes.

2. Lorsque la Commission consulte le comité européen de la protection des données, elle peut fixer un délai dans lequel il doit lui fournir les conseils demandés, selon l'urgence de la question.

2. Lorsque le Parlement européen, le Conseil ou la Commission consultent le comité européen de la protection des données, ils peuvent fixer un délai dans lequel il doit leur fournir les conseils demandés, selon l'urgence de la question.

3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 87, et il les publie.

3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques au Parlement européen, au Conseil, à la Commission et au comité visé à l’article 87, et il les publie.

4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité.

4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité.

 

4 bis. Le comité européen de la protection des données consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 72.

 

4 ter. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe aux fins d'établir des procédures communes pour la collecte et l’examen des informations concernant des allégations de traitement illicite ainsi que de préserver la confidentialité et les sources des informations reçues.

Amendement  176

Proposition de règlement

Article 67 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Le comité européen de la protection des données informe la Commission, régulièrement et en temps utile, des résultats de ses activités. Il établit un rapport annuel sur l'état de la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et dans les pays tiers.

1. Le comité européen de la protection des données informe le Parlement européen, le Conseil et la Commission, régulièrement et en temps utile, des résultats de ses activités. Il établit un rapport au moins tous les deux ans sur l'état de la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et dans les pays tiers.

Le rapport doit notamment présenter le bilan de l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées à l'article 66, paragraphe 1, point c).

Le rapport doit notamment présenter le bilan de l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées à l'article 66, paragraphe 1, point c).

Amendement  177

Proposition de règlement

Article 68 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Le comité européen de la protection des données prend ses décisions à la majorité simple de ses membres.

1. Le comité européen de la protection des données prend ses décisions à la majorité simple de ses membres, sauf disposition contraire dans ses règles de procédure.

Amendement  178

Proposition de règlement

Article 69 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Le comité européen de la protection des données élit son président et deux vice-présidents en son sein. L'un des vice-présidents est le contrôleur européen de la protection des données, à moins qu'il ait été élu président.

1. Le comité européen de la protection des données élit son président et au minimum deux vice-présidents en son sein.

Amendement  179

Proposition de règlement

Article 69 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis. La fonction de président est une fonction à temps plein.

Amendement  180

Proposition de règlement

Article 71 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Le secrétariat fournit, sous la direction du président, un soutien analytique, administratif et logistique au comité européen de la protection des données.

2. Le secrétariat fournit, sous la direction du président, un soutien analytique, juridique, administratif et logistique au comité européen de la protection des données.

Amendement  181

Proposition de règlement

Article 72 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les débats du comité européen de la protection des données sont confidentiels.

1. Les débats du comité européen de la protection des données peuvent être confidentiels lorsque cela est nécessaire, sauf disposition contraire de son règlement. Les calendriers des réunions du comité européen de la protection des données sont rendus publics.

Amendement  182

Proposition de règlement

Article 73

Texte proposé par la Commission

Amendement

Droit d’introduire une réclamation auprès d'une autorité de contrôle

Droit d’introduire une réclamation auprès d'une autorité de contrôle

1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement.

1. Sans préjudice de tout autre recours administratif ou judiciaire et du mécanisme de contrôle de la cohérence, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement.

2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel.

2. Tout organisme, organisation ou association qui agit dans l'intérêt public et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel.

3. Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation de données à caractère personnel.

3. Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation du présent règlement.

Amendement  183

Proposition de règlement

Article 74

Texte proposé par la Commission

Amendement

Droit à un recours juridictionnel contre une autorité de contrôle

Droit à un recours juridictionnel contre une autorité de contrôle

1. Toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.

1. Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.

2. Toute personne concernée a le droit de former un recours juridictionnel en vue d’obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle, n’informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b).

2. Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel en vue d’obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle, n’informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b).

3. Les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.

3. Les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.

4. Toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre.

4. Sans préjudice du mécanisme de contrôle de la cohérence, toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre.

5. Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article.

5. Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article.

Amendement  184

Proposition de règlement

Article 75 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Une action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique agissant dans l'exercice de ses prérogatives de puissance publique.

2. Une action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique.

Amendement  185

Proposition de règlement

Article 76 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et 75 au nom d’une ou de plusieurs personnes concernées.

1. Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74, 75 et 77 s'il est mandaté par une ou plusieurs personnes concernées.

Amendement  186

Proposition de règlement

Article 77 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

1. Toute personne ayant subi un dommage, y compris un préjudice extrapatrimonial, du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'exiger du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Amendement  187

Proposition de règlement

Article 77 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage.

2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun de ces responsables du traitement ou sous-traitants est solidairement responsable de la totalité du montant du dommage, à moins qu’ils ne disposent d’un accord écrit approprié déterminant les responsabilités conformément à l'article 24.

Amendement  188

Proposition de règlement

Article 79

Texte proposé par la Commission

Amendement

Sanctions administratives

Sanctions administratives

1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article.

1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article. Les autorités de contrôle doivent coopérer, conformément aux termes des articles 46 et 57, afin de garantir une harmonisation des niveaux de sanctions au sein de l’Union.

2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation.

2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive.

 

2 bis. L’autorité de contrôle inflige à toute personne ne se conformant pas aux obligations énoncées dans le présent règlement l’une au moins des sanctions suivantes:

 

a) un avertissement par écrit lors d'une première infraction non intentionnelle;

 

b) des vérifications périodiques régulières de la protection des données;

 

c) une amende pouvant atteindre 100 000 000 EUR ou au maximum 5 % du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu.

 

2 ter. Si le responsable du traitement ou le sous-traitant est détenteur d’un "label européen de protection des données" valable, conformément à l’article 39, l’amende prévue au point c) du paragraphe 2 bis) sera exclusivement appliquée dans les cas de manquement de propos délibéré ou par négligence.

 

2 quater. La sanction administrative doit tenir compte des facteurs suivants:

 

a) la nature, la gravité et la durée de la non-conformité;

 

b) du fait que l'infraction a été commise de propos délibéré ou par négligence;

 

c) le degré de responsabilité de la personne physique ou morale et les violations antérieurement commises par elle;

 

d) le caractère répétitif de l'infraction;

 

e) le degré de coopération avec l’autorité de contrôle en vue de remédier à la violation et d'atténuer les éventuels effets négatifs de l'infraction;

 

f) les catégories particulières de données à caractère personnel affectées par l'infraction;

 

g) la gravité du dommage, y compris du préjudice extrapatrimonial, subi par les personnes concernées;

 

h) les mesures prises par le responsable du traitement pour atténuer le préjudice subi par les personnes concernées;

 

 

i) tous avantages financiers escomptés ou perçus, ou toutes pertes évitées, imputables directement ou indirectement à l'infraction;

 

j) le niveau des mesures et procédures techniques et d'organisation mises en œuvre conformément à:

 

i) l’article 23 – Protection des données dès la conception et protection des données par défaut;,

 

ii) l'article 30 – Sécurité des traitements;

 

iii) l’article 33 – Analyse d’impact relative à la protection des données;

 

iv) l’article 33 bis – Évaluation de la conformité de la protection des données;

 

v) l’article 35 – Désignation du délégué à la protection des données;

 

k) le refus de coopérer ou l'obstruction faite au déroulement des inspections, audits et contrôles menés par l'autorité de contrôle conformément à l'article 53;

 

l) toute autre circonstance aggravante ou atténuante applicable au cas concerné.

3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction:

 

a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou

 

b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale.

 

4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:

 

a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2;

 

b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4.

 

5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:

 

a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14;

 

b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13;

 

c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17.

 

d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l’article 18;

 

e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;

 

f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3;

 

g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique.

 

6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:

 

a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8;

 

b) traite des catégories particulières de données en violation des articles 9 et 81;

 

c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19;

 

d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20;

 

e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30;

 

f) omet de désigner un représentant conformément à l’article 25;

 

g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement;

 

h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32;

 

i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34;

 

j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37;

 

k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39;

 

l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44;

 

m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1;

 

n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2;

 

o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.

 

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant établi en valeur absolue des amendes administratives prévues au paragraphe 2 bis, en tenant compte des critères et des circonstances énoncés aux paragraphes 2 et 2 quater.

Amendement  189

Proposition de règlement

Article 80 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations aux dispositions sur les principes généraux du chapitre II, sur les droits de la personne concernée du chapitre III, sur le responsable du traitement et le sous-traitant du chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales du chapitre V, sur les autorités de contrôle indépendantes du chapitre VI et sur la coopération et la cohérence du chapitre VII, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression.

1. Les États membres prévoient des exemptions et dérogations aux dispositions sur les principes généraux du chapitre II, sur les droits de la personne concernée du chapitre III, sur le responsable du traitement et le sous-traitant du chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales du chapitre V, sur les autorités de contrôle indépendantes du chapitre VI, sur la coopération et la cohérence du chapitre VII et sur les cas spécifiques de traitement de données du chapitre IX, chaque fois que cela est nécessaire pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression, conformément à la Charte des droits fondamentaux de l'Union européenne.

Amendement  190

Proposition de règlement

Article 80 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 80 bis

 

Accès aux documents

 

1. Les données à caractère personnel contenues dans les documents détenus par une autorité publique ou un organe public peuvent être divulguées par cette autorité ou cet organe conformément à la législation de l'Union ou de l'État membre relative à l'accès du public aux documents officiels, qui concilie le droit à la protection des données à caractère personnel et le principe du droit d'accès du public aux documents officiels.

 

2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

 

Amendement  191

Proposition de règlement

Article 81

Texte proposé par la Commission

Amendement

Traitements de données à caractère personnel relatives à la santé

Traitements de données à caractère personnel relatives à la santé

1. Dans les limites du présent règlement et conformément à l'article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou de la législation d'un État membre qui prévoit des garanties appropriées et spécifiques des intérêts légitimes de la personne concernée, et doivent être nécessaires:

1. Conformément aux règles établies dans le présent règlement, notamment son article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou de la législation d'un État membre qui prévoit des garanties appropriées, cohérentes et spécifiques des intérêts et droits fondamentaux de la personne concernée, dans le mesure où ils sont nécessaires et proportionnés et où leurs effets sont prévisibles par la personne concernée:

a) aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et lorsque le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne également soumise à une obligation de confidentialité équivalente, par le droit d'un État membre ou par des réglementations arrêtées par les autorités nationales compétentes; ou

a) aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et lorsque le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne également soumise à une obligation de confidentialité équivalente, par le droit d'un État membre ou par des réglementations arrêtées par les autorités nationales compétentes; ou

b) pour des motifs d'intérêt général dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pour la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité, entre autres pour les médicaments ou les équipements médicaux; ou

b) pour des motifs d'intérêt général dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pour la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité, entre autres pour les médicaments ou les équipements médicaux et lorsque le traitement de ces données est effectué par une personne soumise à la confidentialité; ou

 

c) pour d'autres motifs d'intérêt général dans des domaines tels que la protection sociale, particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance-maladie.

c) pour d'autres motifs d'intérêt général dans des domaines tels que la protection sociale, particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance-maladie et la fourniture des services de santé. Le traitement de données à caractère personnel relatives à la santé pour des motifs d'intérêt public ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre.

 

1 bis. Lorsqu'il est possible de parvenir aux fins visées aux points a) à c) du paragraphe 1 sans recourir aux données personnelles, ces données ne sont pas utilisées à ces fins, sauf consentement de la personne concernée ou sur la base du droit d'un État membre.

 

1 ter. Lorsque le consentement de la personne concernée est requis pour le traitement de données médicales exclusivement à des fins de recherche scientifique relevant du domaine de la santé publique, le consentement peut être donné pour une ou plusieurs activités de recherche spécifiques et similaires. Néanmoins, la personne concernée peut retirer son consentement à tout moment.

 

1 quater. Pour ce qui concerne le consentement à participer à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes de la directive 2001/20/CE du Parlement européen et du Conseil1 s'appliquent.

2. Les traitements de données à caractère personnel relatives à la santé qui sont nécessaires à des fins de recherche historique, statistique ou scientifique, tels que les registres de patients établis pour améliorer les diagnostics, distinguer entre des types de maladies similaires et préparer des études en vue de thérapies sont soumis aux conditions et aux garanties énoncées à l'article 83.

2. Les traitements de données à caractère personnel relatives à la santé qui sont nécessaires à des fins de recherche historique, statistique ou scientifique ne sont autorisés qu'avec le consentement de la personne concernée sous réserve des conditions et des garanties prévues à l'article 83.

 

2 bis. La législation des États membres peut prévoir des dérogations à l'exigence de consentement en matière de recherche telle que visée au paragraphe 2 dans les cas où celle-ci sert un intérêt public majeur et ne pourrait être menée à bien d'une autre façon. Les données en question sont anonymisées ou, lorsque cela n'est pas possible aux fins de la recherche, pseudonymisées en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées. Néanmoins, la personne concernée peut exercer son droit d'opposition à tout moment conformément à l'article 19.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'autres motifs d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1.

3. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 86, aux fins de préciser davantage la notion d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), et d'intérêt public majeur dans le domaine de la recherche au sens du paragraphe 2 bis.

 

3 bis. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

 

1 Directive 2001/20/CE du Parlement européen et du Conseil du 4 avril 2001 concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres relatives à l'application de bonnes pratiques cliniques dans la conduite d'essais cliniques de médicaments à usage humain (JO L 121 du 1.5.2001, p. 34).

Amendement  192

Proposition de règlement

Article 82

Texte proposé par la Commission

Amendement

Traitements de données en matière d'emploi

Normes minimales pour le traitement de données dans le contexte de l'emploi

1. Dans les limites du présent règlement, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.

1. Conformément aux dispositions du présent règlement, et compte tenu du principe de proportionnalité, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés dans le contexte de l'emploi, aux fins, notamment, mais pas uniquement, du recrutement et de la présentation de candidatures à des emplois au sein du groupe d'entreprises, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi et par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. Les États membres peuvent prévoir des conventions collectives afin de préciser davantage les dispositions du présent article.

 

1 bis. La finalité du traitement de telles données doit être liée au motif pour lequel celles-ci ont été recueillies et demeurer dans le contexte de l'emploi. Le profilage ou l'utilisation à des fins secondaires ne sont pas autorisés.

 

1 ter. Le consentement d'un salarié ne constitue pas un fondement juridique valable pour le traitement de données par l'employeur lorsqu'il n'a pas été donné librement.

 

1 quater. Sans préjudice des autres dispositions du présent règlement, les dispositions nationales adoptées par les États membres et visées au paragraphe 1 comportent au moins les normes minimales suivantes:

 

 

a) le traitement des données des salariés sans qu'ils en aient connaissance n'est pas autorisé. Par dérogation à la première phrase et en ordonnant des délais appropriés pour la suppression des données, les États membres peuvent prévoir par voie législative que le traitement des données soit autorisé dans les cas où des indices réels à consigner justifient la suspicion selon laquelle le salarié a commis un délit ou a gravement manqué à ses obligations dans le cadre de la relation de travail, où la collecte est nécessaire à la détection de l'infraction et où la nature et l'étendue de la collecte sont nécessaires et proportionnées par rapport à la finalité. La sphère privée et l'intimité du salarié sont à protéger à tout moment. L'enquête incombe à l'autorité compétente;

 

b) la surveillance optique et acoustique ouverte, par des moyens électroniques, des parties de l'entreprise qui ne sont pas accessibles au public et qui servent principalement à l'organisation de la vie privée du salarié, comme les sanitaires, les vestiaires, les salles de repos et les chambres à coucher, n'est pas autorisée. La surveillance cachée n'est en aucun cas autorisée;

 

c) si des entreprises ou des autorités prélèvent et traitent des données à caractère personnel dans le cadre d'examens médicaux et/ou de tests d'aptitude, elles doivent indiquer auparavant au candidat ou au salarié à quelles fins ces données sont utilisées et veiller à ce que ces dernières soient ensuite communiquées aux intéressés avec les résultats et qu'elles leur soient expliquées s'ils en font la demande. La collecte des données à des fins de tests et d'analyses génétiques est par principe interdite;

 

d) il est possible de régler par accord collectif la question de savoir si, et dans quelle mesure, l'utilisation du téléphone, du courrier électronique, de l'internet et des autres services de télécommunications est aussi autorisée à des fins privées. Si cette question n'est pas réglée par la négociation collective, l'employeur passe directement un accord avec le salarié. Dans la mesure où une utilisation privée est autorisée, le traitement des données relatives au trafic est notamment autorisé pour garantir la sécurité des données, assurer le bon fonctionnement des réseaux et des services de télécommunications ainsi qu'à des fins de facturation.

 

Par dérogation à la troisième phrase et en ordonnant des délais appropriés pour la suppression des données, les États membres peuvent prévoir par voie législative que le traitement des données soit autorisé dans les cas où des indices réels à consigner justifient la suspicion selon laquelle le salarié a commis un délit ou a gravement manqué à ses obligations dans le cadre de la relation de travail, où la collecte est nécessaire à la détection de l'infraction et où la nature et l'étendue de la collecte sont nécessaires et proportionnées par rapport à la finalité. La sphère privée et l'intimité du salarié sont à protéger à tout moment. L'enquête incombe à l'autorité compétente;

 

e) les données à caractère personnel relatives à des salariés, notamment les données sensibles comme celles portant sur l'orientation politique, l'affiliation et les activités syndicales, ne devraient en aucun cas être utilisées pour inscrire les salariés sur des "listes noires", se renseigner à leur sujet ou leur barrer l'accès à de futurs emplois. Le traitement, l'utilisation dans le contexte de l'emploi ainsi que l'établissement et la transmission de listes noires de travailleurs et toutes autres formes de discrimination sont interdits. Les États membre procèdent à des contrôles et adoptent les sanctions adéquates conformément à l'article 79, paragraphe 6, pour assurer l'application effective du présent point.

 

1 quinquies. Le transfert et le traitement des données à caractère personnel des salariés entre entreprises juridiquement distinctes au sein d'un groupe d'entreprises et avec des professionnels fournissant une assistance juridique et fiscale sont autorisés dans la mesure où ils sont pertinents pour le fonctionnement de l'entreprise et la réalisation d'opérations ou de procédures administratives répondant à une finalité précise et où ils ne s'opposent pas aux droits fondamentaux et aux intérêts à protéger de la personne concernée. Si le transfert de données des salariés est réalisé vers un pays tiers et/ou une organisation internationale, le chapitre V s'applique.

2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu des paragraphes 1 et 1 ter, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1.

3. La Commission est habilitée, après avoir demandé un avis du comité européen de la protection des données, à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1.

Amendement  193

Proposition de règlement

Article 82 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 82 bis

 

Traitement dans le cadre de la sécurité sociale

 

1. Les États membres peuvent, conformément aux règles établies dans le présent règlement, adopter des dispositions législatives spécifiques précisant les conditions du traitement des données à caractère personnel par leurs institutions et services publics de sécurité sociale si ce traitement est effectué dans l'intérêt public.

 

2. Chaque État membre notifie à la Commission les dispositions qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Amendement  194

Proposition de règlement

Article 83

Texte proposé par la Commission

Amendement

Traitements de données à des fins de recherche historique, statistique et scientifique

Traitements de données à des fins de recherche historique, statistique et scientifique

1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si:

1. Conformément aux dispositions du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si:

a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée;

a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée;

b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière.

b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées.

2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si:

 

a) la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7;

 

b) la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche; or

 

c) la personne concernée a rendu publiques les données en cause.

 

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause.

 

Amendement  195

Proposition de règlement

Article 83 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 83 bis

 

Traitement de données à caractère personnel par les services d'archive

 

1. Les données à caractère personnel, au-delà de la durée nécessaire à la réalisation des finalités du traitement initial pour lesquelles elles ont été collectées, peuvent faire l'objet de traitements par les services d'archives qui ont pour mission principale ou obligation légale de collecter, conserver, classer, communiquer, mettre en valeur et diffuser des archives dans l'intérêt général notamment pour la justification des droits des personnes ou à des fins historiques, statistiques ou scientifiques. Ces tâches sont effectuées dans le respect des règles établies par les États membres en matière d'accès, de communicabilité et de diffusion des documents administratifs ou d'archives, et en conformité avec les dispositions du présent règlement, en particulier en ce qui concerne le consentement et le droit d'opposition.

 

2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Amendement  196

Proposition de règlement

Article 84 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Dans les limites du présent règlement, les États membres peuvent adopter des règles spéciales afin de définir les pouvoirs d'investigation des autorités de contrôle visés à l’article 53, paragraphe 2, en ce qui concerne les responsables du traitement ou les sous-traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret.

1. Conformément aux règles prévues par le présent règlement, les États membres veillent à ce que des règles spéciales soient établies afin de définir les pouvoirs d'investigation des autorités de contrôle visés à l’article 53 en ce qui concerne les responsables du traitement ou les sous-traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret.

Amendement  197

Proposition de règlement

Article 85

Texte proposé par la Commission

Amendement

Règles existantes des églises et associations religieuses en matière de protection des données

Règles existantes des églises et associations religieuses en matière de protection des données

1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec les dispositions du présent règlement.

1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, des règles appropriées relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec les dispositions du présent règlement.

2. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 prévoient la création d'une autorité de contrôle indépendante conformément au chapitre VI du présent règlement.

2. Les églises et les associations religieuses qui appliquent des règles appropriées conformément au paragraphe 1 obtiennent un avis sur la conformité conformément à l'article 38.

Amendement  198

Proposition de règlement

Article 85 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 85 bis

 

Respect des droits fondamentaux