Rapport - A8-0313/2017Rapport
A8-0313/2017
Parlement européen

RAPPORT sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE

19.10.2017 - (COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)) - ***I

Commission des libertés civiles, de la justice et des affaires intérieures
Rapporteure: Cornelia Ernst


Procédure : 2017/0002(COD)
Cycle de vie en séance
Cycle relatif au document :  
A8-0313/2017
Textes déposés :
A8-0313/2017
Débats :
Votes :
Textes adoptés :

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2017)0008),

–  vu l’article 294, paragraphe 2, et l’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0008/2017),

–  vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

–  vu les contributions présentées par la Chambre des députés tchèque, le Parlement espagnol et le Parlement portugais sur le projet d’acte législatif,

–  vu l’article 59 de son règlement intérieur,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et l’avis de la commission des affaires juridiques (A8-0313/2017),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Amendement    1

Proposition de règlement

Considérant 1

Texte proposé par la Commission

Amendement

1)  La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

1)  La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la Convention européenne des droits de l’homme.

Amendement    2

Proposition de règlement

Considérant 5

Texte proposé par la Commission

Amendement

5)  Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions et organes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679.

5)  Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne1 bis, être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679.

 

_________________

 

1 bis Voir l’arrêt de la Cour de justice du 9 mars 2010 dans l’affaire C-518/07, Commission/Allemagne, ECLI:EU:C:2010:125, points 26 et 28.

Amendement    3

Proposition de règlement

Considérant 7 bis (nouveau)

Texte proposé par la Commission

Amendement

 

7 bis)  Le cadre juridique de la protection des données pour le traitement des données dans le contexte des activités menées par les institutions et organes de l’Union dans les domaines de la liberté, de la sécurité et de la justice ainsi que de la politique étrangère et de sécurité commune reste fragmenté, ce qui crée une insécurité juridique. Le présent règlement devrait par conséquent prévoir des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées par les institutions et organes de l’Union chargés de missions relevant de la troisième partie, titre V, chapitres 4 et 5, du traité FUE et du titre V, chapitre 2, du traité UE.

Amendement    4

Proposition de règlement

Considérant 8

Texte proposé par la Commission

Amendement

(8)  Dans la déclaration nº 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du TFUE pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Le présent règlement devrait donc s’appliquer aux agences de l’Union menant des activités dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière uniquement dans la mesure où la législation de l’Union applicable à de telles agences ne contient aucune règle spécifique relative au traitement des données à caractère personnel.

(8)  Dans la déclaration nº 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du TFUE pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Par ailleurs, étant donné la nature particulière de la politique étrangère et de sécurité commune et ses règles spécifiques relatives à la protection et à la libre circulation des données à caractère personnel, il pourrait s’avérer nécessaire d’assurer la libre circulation des sonnées à caractère personnelle dans ce domaine également. Il apparaît par conséquent judicieux de règlementer le traitement des données opérationnelles à caractère personnel par des agences de l’Union établies sur la base de la troisième partie, titre V, chapitres 4 et 5, du traité FUE et dans le cadre des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 43 du traité UE en établissant des règles spécifiques qui dérogent à certaines règles générales fixées par le présent règlement.

Amendement    5

Proposition de règlement

Considérant 14

Texte proposé par la Commission

Amendement

14)  Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé.

14)  Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. Toutefois, la personne concernée devrait avoir le droit de retirer son consentement à tout moment, sans porter atteinte à la légalité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.

Amendement    6

Proposition de règlement

Considérant 15

Texte proposé par la Commission

Amendement

15)  Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données est limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

15)  Tout traitement de données à caractère personnel devrait être licite et loyal et s’effectuer au regard d’objectifs bien déterminés et explicites. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données est limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement, leur divulgation par la transmission ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Amendement    7

Proposition de règlement

Considérant 18

Texte proposé par la Commission

Amendement

18)  Le droit de l’Union incluant les règles internes visées dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme.

18)  Le droit de l’Union visé dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément aux exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

Amendement    8

Proposition de règlement

Considérant 20

Texte proposé par la Commission

Amendement

20)  Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE14 du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

20)  Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE14 du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que les catégories de destinataires des données, et devrait être informée du droit d’accès et de modification. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

_________________

_________________

14 Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

14 Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

Amendement    9

Proposition de règlement

Considérant 22

Texte proposé par la Commission

Amendement

22)  Lorsque des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la directive (UE) 2016/680 souhaiteraient que des données à caractère personnel leur soient transmises par des institutions et organes de l’Union, ces destinataires devraient démontrer que la transmission est nécessaire à la réalisation de leur objectif, qu’elle est proportionnée et qu’elle ne va pas au-delà de ce qui est nécessaire pour atteindre cet objectif. Les institutions et organes de l’Union devraient démontrer cette nécessité lorsqu’ils sont eux-mêmes à l’origine de la transmission, conformément au principe de transparence.

22)  Lorsque des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la directive (UE) 2016/680 souhaiteraient que des données à caractère personnel leur soient transmises par des institutions et organes de l’Union, ces destinataires devraient communiquer au responsable du traitement une demande motivée de transmission qui devrait servir de base au responsable du traitement afin qu’il évalue si la transmission est nécessaire à la réalisation de leur objectif, si elle est proportionnée et si elle ne va pas au-delà de ce qui est nécessaire pour atteindre cet objectif. Les institutions et organes de l’Union devraient démontrer cette nécessité lorsqu’ils sont eux-mêmes à l’origine de la transmission, conformément au principe de transparence.

Amendement    10

Proposition de règlement

Considérant 23

Texte proposé par la Commission

Amendement

(23)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

(23)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel ne devraient être traitées que si le traitement est autorisé dans des cas spécifiques énoncés dans le présent règlement. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

Amendement    11

Proposition de règlement

Considérant 23 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(23 bis)  Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée devraient être traitées uniquement à des fins liées à la santé, lorsqu’il est nécessaire de parvenir à ces fins dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de santé ou d’aide sociale. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques.

Amendement    12

Proposition de règlement

Considérant 24

Texte proposé par la Commission

Amendement

(24)  Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) nº 1338/2008 du Parlement européen et du Conseil15, à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins par des tiers.

(24)  Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) nº 1338/2008 du Parlement européen et du Conseil15, à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins.

__________________

__________________

15 Règlement (CE) nº 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

15 Règlement (CE) nº 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

Amendement    13

Proposition de règlement

Considérant 37 – alinéa 1

Texte proposé par la Commission

Amendement

Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, au droit à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.

Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.

Amendement    14

Proposition de règlement

Considérant 37 – alinéa 2

Texte proposé par la Commission

Amendement

Si aucune limitation n’est prévue dans les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, ces institutions et ces organes peuvent, dans un cas spécifique, imposer une limitation ad hoc à certains principes spécifiques ainsi qu’aux droits d’une personne concernée si cette limitation respecte l’essence des libertés et droits fondamentaux et, en ce qui concerne l’opération de traitement spécifique, si elle est nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs mentionnés au premier alinéa. La limitation devrait être notifiée au délégué à la protection des données. Il y a lieu que toutes les limitations respectent les exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

supprimé

Amendement    15

Proposition de règlement

Considérant 39 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(39 bis)  Le règlement (UE) 2016/679 prévoit que les responsables du traitement démontrent le respect des obligations qui leur incombent grâce à l’application de mécanismes de certification approuvés. De même, les institutions et organes de l’Union devraient être en mesure de démontrer la conformité au présent règlement par l’obtention d’une certification, conformément à l’article 42 du règlement (UE) 2016/679.

Amendement    16

Proposition de règlement

Considérant 42

Texte proposé par la Commission

Amendement

(42)  Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient pouvoir établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient aussi pouvoir rendre ce registre public.

(42)  Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient rendre ce registre public.

Amendement    17

Proposition de règlement

Considérant 47

Texte proposé par la Commission

Amendement

47)  Le règlement (CE) nº 45/2001 prévoit une obligation générale pour le responsable du traitement de notifier les opérations de traitement de données à caractère personnel au délégué à la protection des données, qui, à son tour, tient un registre des opérations de traitement notifiées. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur étendue, de leur contexte et de leurs finalités. Ces types d’opérations de traitement pourraient inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial. Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de l’étendue, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

47)  Le règlement (CE) nº 45/2001 prévoit une obligation générale pour le responsable du traitement de notifier les opérations de traitement de données à caractère personnel au délégué à la protection des données, qui, à son tour, tient un registre des opérations de traitement notifiées. Outre cette obligation générale, des procédures et des mécanismes efficaces devraient être mis en place ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur étendue, de leur contexte et de leurs finalités. Ces procédures devraient également être mises en place notamment lorsqu’il s’agit de types d’opérations de traitement qui impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial. Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de l’étendue, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

Amendement    18

Proposition de règlement

Considérant 50

Texte proposé par la Commission

Amendement

50)  Le règlement (UE) 2016/679 a institué le comité européen de la protection des données en tant qu’organe indépendant de l’Union doté de la personnalité juridique. Le comité devrait contribuer à l’application cohérente du règlement (UE) 2016/679 et de la directive 2016/680 dans l’ensemble de l’Union, notamment en conseillant la Commission. Parallèlement, le Contrôleur européen de la protection des données devrait continuer d’exercer ses fonctions de contrôle et de conseil pour toutes les institutions et tous les organes de l’Union, que ce soit de sa propre initiative ou sur demande. Afin de garantir la cohérence des règles applicables en matière de protection des données dans l’ensemble de l’Union, la Commission devrait être tenue de procéder à une consultation après l’adoption d’actes législatifs ou pendant l’élaboration d’actes délégués et d’actes d’exécution tels que définis aux articles 289, 290 et 291 du TFUE, ainsi qu’après l’adoption de recommandations et de propositions relatives à des accords conclus avec des pays tiers et des organisations internationales visés à l’article 218 du TFUE, lorsque ces actes, recommandations ou propositions ont une incidence sur le droit à la protection des données à caractère personnel. Dans de tels cas, la Commission devrait être obligée de consulter le Contrôleur européen de la protection des données, sauf lorsque le règlement (UE) 2016/679 prévoit la consultation obligatoire du comité européen de la protection des données, par exemple au sujet de décisions d’adéquation ou d’actes délégués concernant les icônes normalisées et les exigences applicables aux mécanismes de certification. Lorsque l’acte en question revêt une importance particulière pour la protection des droits et libertés des particuliers à l’égard du traitement de leurs données à caractère personnel, la Commission devrait pouvoir, en plus, consulter le comité européen de la protection des données. Dans de tels cas, le Contrôleur européen de la protection des données devrait, en tant que membre du comité européen de la protection des données, coordonner ses travaux avec ce dernier en vue de remettre un avis conjoint. Le Contrôleur européen de la protection des données et, le cas échéant, le comité européen de la protection des données devraient fournir leurs conseils par écrit dans un délai de huit semaines. Ce délai devrait être raccourci en cas d’urgence ou dans d’autres cas jugés appropriés, par exemple lorsque la Commission élabore des actes délégués et des actes d’exécution.

50)  Le règlement (UE) 2016/679 a institué le comité européen de la protection des données en tant qu’organe indépendant de l’Union doté de la personnalité juridique. Le comité devrait contribuer à l’application cohérente du règlement (UE) 2016/679 et de la directive (UE) 2016/680 dans l’ensemble de l’Union, notamment en conseillant la Commission. Parallèlement, le Contrôleur européen de la protection des données devrait continuer d’exercer ses fonctions de contrôle et de conseil pour toutes les institutions et tous les organes de l’Union, que ce soit de sa propre initiative ou sur demande. Afin de garantir la cohérence des règles applicables en matière de protection des données dans l’ensemble de l’Union, la Commission devrait être tenue de procéder à une consultation lors de l’adoption de propositions d’actes législatifs ou pendant l’élaboration d’actes délégués et d’actes d’exécution tels que définis aux articles 289, 290 et 291 du TFUE, et lors de l’adoption de recommandations et de propositions relatives à des accords conclus avec des pays tiers et des organisations internationales visés à l’article 218 du TFUE, lorsque ces actes, recommandations ou propositions ont une incidence sur le droit à la protection des données à caractère personnel. Dans de tels cas, la Commission devrait être obligée de consulter le Contrôleur européen de la protection des données, sauf lorsque le règlement (UE) 2016/679 prévoit la consultation obligatoire du comité européen de la protection des données, par exemple au sujet de décisions d’adéquation ou d’actes délégués concernant les icônes normalisées et les exigences applicables aux mécanismes de certification. Lorsque l’acte en question revêt une importance particulière pour la protection des droits et libertés des particuliers à l’égard du traitement de leurs données à caractère personnel, la Commission devrait pouvoir, en plus, consulter le comité européen de la protection des données. Dans de tels cas, le Contrôleur européen de la protection des données devrait, en tant que membre du comité européen de la protection des données, coordonner ses travaux avec ce dernier en vue de remettre un avis conjoint. Le Contrôleur européen de la protection des données et, le cas échéant, le comité européen de la protection des données devraient fournir leurs conseils par écrit dans un délai de huit semaines. Ce délai devrait être raccourci en cas d’urgence ou dans d’autres cas jugés appropriés, par exemple lorsque la Commission élabore des actes délégués et des actes d’exécution.

Amendement    19

Proposition de règlement

Considérant 50 bis (nouveau)

Texte proposé par la Commission

Amendement

 

50 bis)  Conformément à l’article 75 du règlement (UE) 2016/679, le comité européen de la protection des données dispose d’un secrétariat, qui est assuré par le Contrôleur européen de la protection des données.

Amendement    20

Proposition de règlement

Considérant 52

Texte proposé par la Commission

Amendement

52)  Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne devrait pas être compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

52)  Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement devrait être respecté, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement, du règlement (UE) 2016/679 et des libertés et droits fondamentaux consacrés par la charte. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

Amendement    21

Proposition de règlement

Considérant 53

Texte proposé par la Commission

Amendement

53)  La Commission peut décider, en vertu de l’article 45 du règlement (UE) 2016/679, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale propose un niveau adéquat de protection des données. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale par une institution ou un organe de l’Union peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation.

53)  La Commission peut décider, en vertu de l’article 45 du règlement (UE) 2016/679 ou de l’article 36 de la directive (UE) 2016/680, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale propose un niveau adéquat de protection des données. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale par une institution ou un organe de l’Union peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation.

Amendement    22

Proposition de règlement

Considérant 64 bis (nouveau)

Texte proposé par la Commission

Amendement

 

64 bis)  La Commission a proposé de modifier le règlement (UE) nº 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») de sorte que le système IMI puisse être utilisé non seulement par les autorités compétentes des États membres et la Commission, mais aussi par les organes et organismes de l’Union1 bis. Dans l’attente de cette révision, le Contrôleur européen de la protection des données et le Comité européen de la protection des données devraient pouvoir utiliser le système d’information du marché intérieur aux fins de coopération administrative et d’échange d’informations visées dans le règlement général sur la protection des données en vue de son entrée en vigueur le 25 mai 2018.

 

_________________

 

1 bis Voir l’article 36 de la proposition de règlement du Parlement européen et du Conseil établissant un portail numérique unique pour donner accès à des informations, des procédures et des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) nº 1024/2012, COM(2017) 256, 2017/0086(COD).

Amendement    23

Proposition de règlement

Considérant 65

Texte proposé par la Commission

Amendement

65)  Dans certains cas, le droit de l’Union prévoit un modèle de contrôle coordonné, partagé entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales. En outre, le Contrôleur européen de la protection des données est l’autorité de contrôle d’Europol et un modèle spécifique de coopération avec les autorités de contrôle nationales est mis en place dans le cadre d’un comité de coopération de nature consultative. Afin d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles matérielles relatives à la protection des données, un modèle unique et cohérent de contrôle coordonné devrait être introduit dans l’Union. La Commission devrait donc, lorsqu’il y a lieu, soumettre des propositions législatives visant à modifier les actes juridiques qui organisent un modèle de contrôle coordonné afin de les aligner sur le modèle de contrôle coordonné prévu par le présent règlement. Le comité européen de la protection des données devrait servir de forum unique garantissant un contrôle coordonné efficace de manière systématique.

65)  Dans certains cas, le droit de l’Union prévoit un modèle de contrôle coordonné, partagé entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales. En outre, le Contrôleur européen de la protection des données est l’autorité de contrôle d’Europol et un modèle spécifique de coopération avec les autorités de contrôle nationales est mis en place dans le cadre d’un comité de coopération de nature consultative. Afin d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles matérielles relatives à la protection des données, le présent règlement devrait mettre en place un modèle unique et cohérent de contrôle coordonné. Le comité européen de la protection des données devrait servir de forum unique garantissant un contrôle coordonné efficace de manière systématique.

Amendement    24

Proposition de règlement

Article 1 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

2.  Le présent règlement protège les libertés et droits fondamentaux des personnes physiques consacrés par la charte, et en particulier leur droit à la protection des données à caractère personnel.

Amendement    25

Proposition de règlement

Article 2 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Le présent règlement s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union, dans la mesure où ce traitement est effectué pour l’exercice d’activités qui relèvent en tout ou en partie du champ d’application du droit de l’Union.

1.  Le présent règlement s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union.

Amendement    26

Proposition de règlement

Article 2 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis.  Le présent règlement s’applique également aux agences de l’Union menant des activités relevant des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, y compris lorsque les actes fondateurs de ces agences établissent un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel. Les dispositions relatives au traitement spécifique des données à caractère personnel opérationnelles contenues dans les actes fondateurs des agences peuvent préciser et compléter la mise en application du présent règlement.

Amendement    27

Proposition de règlement

Article 3 – paragraphe 1 – point a

Texte proposé par la Commission

Amendement

(a)  les définitions figurant dans le règlement (UE) 2016/679, à l’exception de la définition du terme «responsable du traitement» figurant à l’article 4, point 7), de ce règlement;

(a)  les définitions figurant dans le règlement (UE) 2016/679, à l’exception de la définition des termes de «responsable du traitement» figurant à l’article 4, point 7), d’«établissement principal» figurant à l’article 4, point 16), d’«entreprise» figurant à l’article 4, point 18), de «groupe d’entreprises», figurant à l’article 4, point 19), de ce règlement; la définition du terme «communications électroniques» figurant à l’article 4, paragraphe 2, point a), du règlement (UE) XX/XXXX (règlement «vie privée et communications électroniques»);

Amendement    28

Proposition de règlement

Article 3 – paragraphe 2 – point d bis (nouveau)

Texte proposé par la Commission

Amendement

 

d bis)  «données opérationnelles à caractère personnel»: les données à caractère personnel traitées par les agences de l’Union établies sur la base de la troisième partie, titre V, chapitres 4 et 5, du traité FUE et dans le cadre des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité UE afin de réaliser les objectifs fixés dans les actes portant création des agences ou missions susmentionnées.

Amendement    29

Proposition de règlement

Article 4 – paragraphe 1 – partie introductive

Texte proposé par la Commission

Amendement

1.  Les données à caractère personnel doivent être:

1.  Les données à caractère personnel sont:

Amendement    30

Proposition de règlement

Article 4 – paragraphe 1 – point d

Texte proposé par la Commission

Amendement

d)  exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

(Ne concerne pas la version française.)

Amendement    31

Proposition de règlement

Article 5 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  La mission d’intérêt public mentionnée au paragraphe 1, point a), est inscrite dans le droit de l’Union.

2.  La mission d’intérêt public mentionnée au paragraphe 1, point a), est inscrite dans le droit de l’Union. La base juridique du traitement visé au paragraphe 1, point b), est fixée dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis.

Amendement    32

Proposition de règlement

Article 8 – titre

Texte proposé par la Commission

Amendement

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information

Conditions applicables au consentement de l’enfant en ce qui concerne les services de la société de l’information

Amendement    33

Proposition de règlement

Article 8 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 8 bis

 

Transfert de données à caractère personnel entre institutions et organes de l’Union

 

Sans préjudice des articles 4, 5, 6 et 10:

 

1. Les données à caractère personnel ne peuvent faire l’objet de transferts entre institutions ou organes de l’Union ou en leur sein que si elles sont nécessaires à l’exécution légitime de missions relevant de la compétence du destinataire.

 

2. Lorsque les données sont transférées à la suite d’une demande du destinataire, tant le responsable du traitement que le destinataire assument la responsabilité de la légitimité de ce transfert.

 

Le responsable du traitement est tenu de vérifier la compétence du destinataire et d’évaluer à titre provisoire la nécessité du transfert de ces données. Si des doutes se font jour quant à la nécessité de ce transfert, le responsable du traitement demande au destinataire un complément d’informations.

 

Le destinataire veille à ce que la nécessité du transfert des données puisse être ultérieurement vérifiée.

 

3. Le destinataire traite les données à caractère personnel uniquement aux fins qui ont motivé leur transmission.

.

Amendement    34

Proposition de règlement

Article 9 – paragraphe 1 – partie introductive

Texte proposé par la Commission

Amendement

1.  Sans préjudice des articles 4, 5, 6 et 10, des données à caractère personnel ne sont transmises à des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la réglementation nationale adoptée en vertu de la directive (UE) 2016/680 que si le destinataire démontre:

1.  Sans préjudice des articles 4, 5, 6, 10, 14, de l’article 15, paragraphe 3, et de l’article 16, paragraphe 4, des données à caractère personnel ne sont transmises à des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la réglementation nationale adoptée en vertu de la directive (UE) 2016/680 que si le responsable du traitement démontre, sur la base d’une demande motivée du destinataire:

Amendement    35

Proposition de règlement

Article 9 – paragraphe 1 – point b

Texte proposé par la Commission

Amendement

b)  que la transmission des données est nécessaire et proportionnée à sa finalité et s’il n’existe aucune raison de penser que cette transmission pourrait porter atteinte aux droits, libertés et intérêts légitimes de la personne concernée.

b)  que la transmission est proportionnée et nécessaire aux fins de servir un intérêt public tel que la transparence ou la bonne administration et, s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée, après avoir mis manifestement en balance les différents intérêts en présence;

Amendement    36

Proposition de règlement

Article 10 – paragraphe 2 – point a

Texte proposé par la Commission

Amendement

a)  la personne concernée a donné son consentement explicite au traitement de ces données pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union prévoit que l’interdiction mentionnée au paragraphe 1 ne peut pas être levée par la personne concernée;

a)  la personne concernée a donné son consentement explicite au traitement de ces données personnelles pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union prévoit que l’interdiction mentionnée au paragraphe 1 ne peut pas être levée par la personne concernée;

Amendement    37

Proposition de règlement

Article 10 – paragraphe 3

Texte proposé par la Commission

Amendement

3.  Les données à caractère personnel mentionnées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union ou sous la responsabilité d’un tel professionnel.

3.  Les données à caractère personnel mentionnées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union ou d’un État membre, ou aux règles arrêtées par les instances nationales compétentes, ou sous la responsabilité d’un tel professionnel, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou d’un État membre, ou aux règles arrêtées par les instances nationales compétentes.

Amendement    38

Proposition de règlement

Article 11 – alinéa unique

Texte proposé par la Commission

Amendement

Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, ne peut être effectué que s’il est autorisé par le droit de l’Union, ce qui peut inclure des règles internes, prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées.

Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, n’est effectué que s’il est autorisé par le droit de l’Union prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées.

Amendement    39

Proposition de règlement

Article 14 – paragraphe 5 – alinéa unique

Texte proposé par la Commission

Amendement

Aucun paiement n’est exigé pour fournir les informations au titre des articles 15 et 16 ni pour procéder à une communication ou prendre une mesure au titre des articles 17 à 24 et de l’article 38. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à la demande.

Aucun paiement n’est exigé pour fournir les informations au titre des articles 15 et 16 ni pour procéder à une communication ou prendre une mesure au titre des articles 17 à 24 et de l’article 38.

Amendement    40

Proposition de règlement

Article 14 – paragraphe 8

Texte proposé par la Commission

Amendement

8.  Si la Commission adopte des actes délégués en vertu de l’article 12, paragraphe 8, du règlement (UE) 2016/679 aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées, les institutions et organes de l’Union fournissent, le cas échéant, les informations requises en vertu des articles 15 et 16 en combinaison avec ces icônes normalisées.

8.  La Commission est habilitée à adopter des actes délégués en vertu de l’article 12, paragraphe 8, du règlement (UE) 2016/679 aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées; les institutions et organes de l’Union fournissent, le cas échéant, les informations requises en vertu des articles 15 et 16 en combinaison avec ces icônes normalisées.

Amendement    41

Proposition de règlement

Article 16 – paragraphe 5 – point b

Texte proposé par la Commission

Amendement

b)  la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;

b)  la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

Amendement    42

Proposition de règlement

Article 16 – paragraphe 5 – point c

Texte proposé par la Commission

Amendement

c)  l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union; ou

c)  l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger l’intérêt légitime de la personne concernée; ou

Amendement    43

Proposition de règlement

Article 16 – paragraphe 5 – point d

Texte proposé par la Commission

Amendement

d)  les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union.

d)  les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union, y compris une obligation légale de secret professionnel.

Amendement    44

Proposition de règlement

Article 16 – paragraphe 5 bis (nouveau)

Texte proposé par la Commission

Amendement

 

5 bis.   Dans les cas visés au paragraphe 5, point b), le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

Amendement    45

Proposition de règlement

Article 20 – paragraphe 1 – point b

Texte proposé par la Commission

Amendement

b)  le traitement des données à caractère personnel est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;

b)  le traitement est illicite et la personne concernée s’oppose à l’effacement des données à caractère personnel et exige à la place la limitation de leur utilisation;

Amendement    46

Proposition de règlement

Article 25 – paragraphe 1 – partie introductive

Texte proposé par la Commission

Amendement

1.  Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

1.  Des actes juridiques adoptés sur la base des traités peuvent limiter l’application des articles 14 à 22 et de l’article 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

Amendement    47

Proposition de règlement

Article 25 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

1 bis.   Les actes adoptés en vertu du paragraphe 1 sont clairs et précis. Leur application est prévisible pour les personnes qui y sont soumises.

Amendement    48

Proposition de règlement

Article 25 – paragraphe 1 ter (nouveau)

Texte proposé par la Commission

Amendement

 

1 ter.  En particulier, les actes juridiques adoptés en vertu du paragraphe 1 contiennent des dispositions spécifiques relatives, au moins, le cas échéant:

 

a) aux finalités du traitement ou des catégories de traitement;

 

b) aux catégories de données à caractère personnel;

 

c) à l’étendue des limitations introduites;

 

d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

 

e) à la détermination du responsable du traitement ou des catégories de responsables du traitement;

 

f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

 

g) aux risques pour les droits et libertés des personnes concernées; et

 

h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Amendement    49

Proposition de règlement

Article 25 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  Lorsqu’aucune limitation n’est prévue par un acte juridique adopté sur la base des traités ou par une règle interne conformément au paragraphe 1, les institutions et organes de l’Union peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux, en lien avec une opération de traitement spécifique, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs énumérés au paragraphe 1. La limitation est notifiée au délégué à la protection des données compétent.

supprimé

Amendement    50

Proposition de règlement

Article 25 – paragraphe 3

Texte proposé par la Commission

Amendement

3.  Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

3.  Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Amendement    51

Proposition de règlement

Article 25 – paragraphe 4

Texte proposé par la Commission

Amendement

4.  Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4.  Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Amendement    52

Proposition de règlement

Article 25 – paragraphe 5

Texte proposé par la Commission

Amendement

5.  Les règles internes mentionnées aux paragraphes 1, 3 et 4 sont suffisamment claires et précises et font l’objet d’une publication adéquate.

supprimé

Amendement    53

Proposition de règlement

Article 25 – paragraphe 6

Texte proposé par la Commission

Amendement

6.  Si une limitation est imposée en vertu du paragraphe 1 ou 2, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données.

6.  Si une limitation est imposée en vertu du paragraphe 1, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données.

Amendement    54

Proposition de règlement

Article 25 – paragraphe 7

Texte proposé par la Commission

Amendement

7.  Si une limitation imposée en vertu du paragraphe 1 ou 2 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

7.  Si une limitation imposée en vertu du paragraphe 1 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

Amendement    55

Proposition de règlement

Article 25 – paragraphe 8

Texte proposé par la Commission

Amendement

8.  La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1 ou 2.

8.  La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1.

Amendement    56

Proposition de règlement

Article 26 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis.  L’application de mécanismes de certification approuvés comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.

Amendement    57

Proposition de règlement

Article 27 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis.  Un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences prévues aux paragraphes 1 et 2 du présent article.

Amendement    58

Proposition de règlement

Article 28 – paragraphe 3

Texte proposé par la Commission

Amendement

3.  La personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre un ou plusieurs des responsables du traitement, en tenant compte de leur rôle tel que défini dans les termes de l’accord mentionné au paragraphe 1.

3.  Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

Amendement    59

Proposition de règlement

Article 31 – paragraphe 5

Texte proposé par la Commission

Amendement

5.  Les institutions et organes de l’Union peuvent décider de tenir leurs registres des activités de traitement dans un registre central. Dans ce cas, ils peuvent également décider de mettre ce registre à la disposition du public.

5.  Les institutions et organes de l’Union tiennent leurs registres des activités de traitement dans un registre central et mettent ce registre à la disposition du public.

Amendement    60

Proposition de règlement

Chapitre IV – section 2 – titre

Texte proposé par la Commission

Amendement

SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL ET CONFIDENTIALITÉ DES COMMUNICATIONS ÉLECTRONIQUES

SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL

Amendement    61

Proposition de règlement

Article 33 – paragraphe 3 bis (nouveau)

Texte proposé par la Commission

Amendement

 

3 bis.  L’application d’un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

Amendement    62

Proposition de règlement

Article 33 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 33 bis

 

L’application d’un code de conduite approuvé, comme le prévoit l’article 40 du règlement (UE) 2016/679, peut servir d’élément pour démontrer le respect des exigences prévues aux paragraphes 1 et 2.

Amendement    63

Proposition de règlement

Article 34

Texte proposé par la Commission

Amendement

Article 34

supprimé

Confidentialité des communications électroniques

 

Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques.

 

Amendement    64

Proposition de règlement

Article 36

Texte proposé par la Commission

Amendement

Article 36

supprimé

Annuaires d’utilisateurs

 

1.  Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire.

 

2.  Les institutions et organes communautaires prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans les annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe.

 

Amendement    65

Proposition de règlement

Chapitre 4 – section 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

CONFIDENTIALITÉ DES COMMUNICATION ÉLECTRONIQUES

Amendement    66

Proposition de règlement

Article 38 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 38 bis

 

Confidentialité des communications électroniques

 

Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques.

Amendement    67

Proposition de règlement

Article 38 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 38 ter

 

Annuaires d’utilisateurs

 

1. Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire.

 

2. Les institutions et organes de l’Union prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans ces annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe.

Amendement    68

Proposition de règlement

Article 41 – alinéa unique

Texte proposé par la Commission

Amendement

Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données lorsqu’ils élaborent des mesures administratives et des règles internes relatives au traitement de données à caractère personnel impliquant une institution ou un organe de l’Union, seuls ou conjointement avec d’autres.

Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données lorsqu’ils élaborent des mesures administratives relatives au traitement de données à caractère personnel impliquant une institution ou un organe de l’Union, seuls ou conjointement avec d’autres.

Amendement    69

Proposition de règlement

Article 42 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Après l’adoption de propositions d’acte législatif et de recommandations ou de propositions au Conseil en vertu de l’article 218 du TFUE et lors de l’élaboration d’actes délégués ou d’actes d’exécution, la Commission consulte le Contrôleur européen de la protection des données lorsque ces propositions, recommandations ou actes ont une incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel.

1.  Lors de l’adoption de propositions d’acte législatif et de recommandations ou de propositions au Conseil en vertu de l’article 218 du TFUE et lors de l’élaboration d’actes délégués ou d’actes d’exécution concernant la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel, la Commission consulte le Contrôleur européen de la protection des données.

Amendement    70

Proposition de règlement

Article 44 – paragraphe 4

Texte proposé par la Commission

Amendement

4.  Le délégué à la protection des données peut être un membre du personnel de l’institution ou de l’organe de l’Union, ou exercer ses missions sur la base d’un contrat de service.

4.  Le délégué à la protection des données est un membre du personnel de l’institution ou de l’organe de l’Union. Dans des circonstances exceptionnelles, compte tenu de leur taille et si les conditions énoncées au paragraphe 2 ne sont pas remplies, les institutions et organes de l’Union peuvent désigner un délégué à la protection des données, qui exerce ses missions sur la base d’un contrat de service.

Amendement    71

Proposition de règlement

Article 45 – paragraphe 5

Texte proposé par la Commission

Amendement

5.  Le délégué à la protection des données et son personnel sont soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions, conformément au droit de l’Union.

5.  Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union.

Amendement    72

Proposition de règlement

Article 46 – paragraphe 1 – point g bis (nouveau)

Texte proposé par la Commission

Amendement

 

(g bis)  veiller à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées.

Amendement    73

Proposition de règlement

Article 48 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement.

1.  Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36 de la directive (UE) 2016/680, qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement. Un tel transfert ne nécessite pas d’autorisation spécifique.

Amendement    74

Proposition de règlement

Article 49 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

1.  En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, dans le cadre des champs d’application respectifs de ces actes législatifs, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Amendement    75

Proposition de règlement

Article 51 – paragraphe 1 – partie introductive

Texte proposé par la Commission

Amendement

1.  En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de garanties appropriées conformément à l’article 49, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués que si l’une des conditions suivantes est respectée:

1.  En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, dans le cadre des champs d’application respectifs de ces actes législatifs, ou de garanties appropriées conformément à l’article 49, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués que si l’une des conditions suivantes est respectée:

Amendement    76

Proposition de règlement

Article 54 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats établie par la Commission est publique. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, peut décider d’organiser une audition de manière à pouvoir émettre une préférence.

1.  Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie conjointement par le Parlement européen, le Conseil et la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats est publique et est composé d’au moins cinq candidats. La commission compétente du Parlement européen peut décider d’organiser une audition des candidats figurant sur la liste de manière à pouvoir émettre une préférence.

Amendement    77

Proposition de règlement

Article 54 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  La liste établie par la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679.

2.  La liste établie conjointement par le Parlement européen, le Conseil et la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent des connaissances spécialisées en matière de protection des données ainsi que l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679.

Amendement    78

Proposition de règlement

Article 55 – paragraphe 4

Texte proposé par la Commission

Amendement

4.  Le contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le Contrôleur européen de la protection des données, qui est leur supérieur hiérarchique. Ils en relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire.

4.  Le contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le Contrôleur européen de la protection des données, qui est leur supérieur hiérarchique. Ils en relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire. L’article 75, paragraphe 2, du règlement (UE) 2016/679 s’applique au personnel du Contrôleur européen de la protection des données chargé de mener à bien les missions conférées au comité européen de la protection des données par le droit de l’Union.

Amendement    79

Proposition de règlement

Article 59 – paragraphe 1 – point e

Texte proposé par la Commission

Amendement

(e)  obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres.

(e)  obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union.

Amendement    80

Proposition de règlement

Article 59 – paragraphe 3 – point b bis (nouveau)

Texte proposé par la Commission

Amendement

 

(b bis)  autoriser ou non le traitement visé à l’article 40, paragraphe 4;

Amendement    81

Proposition de règlement

Article 61 – titre

Texte proposé par la Commission

Amendement

Coopération avec les autorités de contrôle nationales

Coopération entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales

Amendement    82

Proposition de règlement

Article 61 – alinéa unique

Texte proposé par la Commission

Amendement

Le Contrôleur européen de la protection des données coopère avec les autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679 et de l’article 51 de la directive (UE) 2016/680 (ci-après dénommées les «autorités de contrôle nationales») ainsi qu’avec l’autorité de contrôle commune instituée en vertu de l’article 25 de la décision 2009/917/JAI du Conseil21, dans la mesure nécessaire à l’exercice de leurs fonctions respectives, notamment en échangeant toute information utile, en demandant aux autorités de contrôle nationales d’exercer leurs pouvoirs ou en répondant aux demandes de ces autorités.

Le Contrôleur européen de la protection des données coopère avec les autorités de contrôle instituées en vertu de l’article 51 du règlement (UE) 2016/679 et de l’article 41 de la directive (UE) 2016/680 (ci-après dénommées les «autorités de contrôle nationales») dans la mesure nécessaire à l’exercice de leurs fonctions respectives, notamment en échangeant toute information utile, en se demandant mutuellement d’exercer leurs pouvoirs ou en répondant à leurs demandes respectives.

_________________

 

21 Décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes (JO L 323 du 10.12.2009, p. 20–30).

 

Amendement    83

Proposition de règlement

Article 61 – alinéa 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Le Contrôleur européen de la protection des données et le comité européen de la protection des données peuvent utiliser le système d’information du marché intérieur établi par le règlement (UE) nº 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») aux fins de coopération administrative et d’échange d’informations visées aux articles 60 à 62, 64, 65 et 70 du règlement (UE) 2016/679.

Amendement    84

Proposition de règlement

Article 62 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Lorsqu’un acte de l’Union renvoie au présent article, le Contrôleur européen de la protection des données doit coopérer activement avec les autorités de contrôle nationales, afin d’assurer un contrôle effectif des systèmes d’information à grande échelle ou des agences de l’Union.

1.  Lorsqu’un acte de l’Union prévoit que le Contrôleur européen de la protection des données contrôle le traitement des données à caractère personnel au niveau de l’Union et que les autorités de contrôle nationales contrôlent le traitement des données à caractère personnel au niveau national, le Contrôleur européen de la protection des données et les autorités de contrôle nationales, agissant dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif et coordonné des systèmes d’information à grande échelle ou des institutions, organes et organismes de l’Union.

Amendement    85

Proposition de règlement

Article 62 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  Le Contrôleur européen de la protection des données, agissant dans le cadre de ses compétences et de ses responsabilités, doit échanger des informations utiles, aider à réaliser des audits et des inspections, examiner les difficultés d’interprétation ou d’application du présent règlement et d’autres actes de l’Union applicables, étudier les problèmes susceptibles de se présenter lors de l’exercice d’un contrôle indépendant ou lors de l’exercice des droits des personnes concernées, définir des propositions harmonisées visant à trouver des solutions aux problèmes éventuels et sensibiliser le public à la protection des données, si nécessaire conjointement avec les autorités nationales de contrôle.

2.  Agissant dans le cadre de leurs compétences et de leurs responsabilités respectives, ils doivent échanger des informations utiles, s’assister mutuellement dans la réalisation d’audits et d’inspections, examiner les difficultés d’interprétation ou d’application du présent règlement et d’autres actes de l’Union applicables, étudier les problèmes susceptibles de se présenter lors de l’exercice d’un contrôle indépendant ou lors de l’exercice des droits des personnes concernées, définir des propositions harmonisées visant à trouver des solutions aux problèmes éventuels et sensibiliser le public à la protection des données, si nécessaire.

Amendement    86

Proposition de règlement

Article 62 – paragraphe 3

Texte proposé par la Commission

Amendement

3.  Aux fins prévues au paragraphe 2, le Contrôleur européen de la protection des données doit rencontrer les autorités de contrôle nationales au moins deux fois par an dans le cadre du comité européen de la protection des données. Le coût et l’organisation de ces réunions sont à la charge du comité européen de la protection des données. Le règlement intérieur est adopté lors de la première réunion. D’autres méthodes de travail sont mises au point d’un commun accord, en fonction des besoins.

3.  Aux fins prévues au paragraphe 2, le Contrôleur européen de la protection des données et les autorités de contrôle nationales se réunissent au moins deux fois par an dans le cadre du comité européen de la protection des données. Le coût et l’organisation de ces réunions sont à la charge du comité européen de la protection des données. À cet effet, le comité européen de la protection des données peut mettre au point d’autres méthodes de travail, en fonction des besoins.

Amendement    87

Proposition de règlement

CHAPITRE VIII bis (nouveau) – Titre

 

Texte proposé par la Commission

Amendement

 

CHAPITRE VIII bis

 

Traitement des données à caractère personnel opérationnelles

Amendement    88

Proposition de règlement

Article 69 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 69 bis

 

Champ d’application

 

Par dérogation aux articles 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 et 51, les dispositions du présent chapitre s’appliquent au traitement de données opérationnelles par les agences de l’Union établies sur la base des chapitres 4 et 5 du titre V de la troisième partie du traité FUE et par les missions visées à l’article 42, paragraphe 1, et aux articles 43 et 43 du traité UE.

 

Les dispositions relatives au traitement spécifique des données à caractère personnel opérationnelles contenues dans les actes fondateurs des agences peuvent préciser et compléter la mise en application du présent règlement.

Amendement    89

Proposition de règlement

Article 69 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 69 ter

 

Principes relatifs au traitement des données à caractère personnel opérationnelles

 

1.  Les données à caractère personnel opérationnelles sont:

 

(a)  traitées de manière licite et loyale («licéité et loyauté»);

 

(b)  collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales, à condition que les agences et les missions de l’Union fournissent des garanties appropriées, notamment en vue de garantir que les données ne sont pas traitées à d’autres fins («limitation des finalités»);

 

(c)  adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées («minimisation des données»);

 

(d)  exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel opérationnelles qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder («exactitude»);

 

(e)  conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

 

(f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel opérationnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées («intégrité et confidentialité»);

 

2.  Les agences et les missions de l’Union mettent à la disposition du public un document exposant, sous une forme intelligible, les dispositions applicables en matière de traitement des données à caractère personnel opérationnelles et les moyens disponibles pour l’exercice des droits des personnes concernées.

Amendement    90

Proposition de règlement

Article 69 quater (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 quater

 

Licéité du traitement

 

Le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par les agences ou les missions de l’Union et où il est fondé sur le droit de l’Union. Une disposition du droit de l’Union qui précise et complète le présent règlement au regard du traitement relevant du champ d’application du présent chapitre précise les objectifs du traitement, les données à caractère personnel opérationnelles devant faire l’objet d’un traitement et les finalités du traitement.

Amendement    91

Proposition de règlement

Article 69 quinquies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 quinquies

 

Distinction entre différentes catégories de personnes concernées

 

Les agences et les missions de l’Union établissent une distinction claire entre les données à caractère personnel opérationnelles de différentes catégories de personnes concernées, telles que:

 

(a)  les personnes qui sont soupçonnées d’avoir commis une infraction ou d’avoir participé à une infraction pénale relevant de la compétence des agences ou des missions de l’Union, ou qui ont été condamnées pour une telle infraction;

 

(b)  les personnes pour lesquelles il existe des indices concrets ou de bonnes raisons de croire qu’elles commettront des infractions pénales relevant de la compétence des agences ou des missions de l’Union;

 

(c)  les personnes qui ont été victimes d’une des infractions considérées ou pour lesquelles il existe certains faits qui permettent de penser qu’elles pourraient être les victimes d’une infraction pénale;

 

(d)  les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures;

 

(e)  les personnes pouvant fournir des informations sur des infractions pénales; et

 

(f)  les personnes de contact ou les associés d’une des personnes visées aux points (a) ou (b).

Amendement    92

Proposition de règlement

Article 69 sexies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 sexies

 

Distinction entre les données à caractère personnel opérationnelles et vérification de la qualité des données à caractère personnel opérationnelles

 

Les agences et les missions de l’Union établissent une distinction entre les données à caractère personnel opérationnelles fondées sur des faits et celles fondées sur des appréciations personnelles. Les agences et les missions de l’Union traitent les données à caractère personnel opérationnelles de telle manière que l’on puisse identifier l’autorité ayant fourni les données ou la source dont elles ont été extraites. Les agences et les missions de l’Union veillent à ce que les données à caractère personnel opérationnelles inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, les agences et les missions de l’Union vérifient la qualité des données à caractère personnel opérationnelles avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données à caractère personnel opérationnelles, les agences et les missions de l’Union ajoutent des informations nécessaires pour permettre au destinataire de juger de l’exactitude, de l’exhaustivité et de la fiabilité des données à caractère personnel opérationnelles, et de leur niveau de mise à jour. S’il s’avère que des données à caractère personnel opérationnelles inexactes ont été transmises ou que des données à caractère personnel opérationnelles ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données à caractère personnel opérationnelles sont rectifiées ou effacées ou leur traitement est limité.

Amendement    93

Proposition de règlement

Article 69 septies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 septies

 

Conditions spécifiques applicables au traitement

 

Lorsque les agences et les missions de l’Union soumettent le traitement à des conditions spécifiques, elles informent le destinataire des données à caractère personnel opérationnelles de ces conditions et de l’obligation de les respecter. Les agences et les missions de l’Union respectent les conditions spécifiques applicables au traitement prévues par une autorité nationale conformément à l’article 9, paragraphes 3 et 4, de la directive (UE) 2016/680.

Amendement    94

Proposition de règlement

Article 69 octies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 octies

 

Transmission de données à caractère personnel opérationnelles à d’autres institutions et organes de l’Union

 

Les agences et les missions de l’Union ne transmettent des données à caractère personnel opérationnelles à d’autres institutions ou organes de l’Union que si elles sont nécessaires à l’exécution de leurs missions ou des agences ou missions de l’Union destinataires des données. Lorsque des données à caractère personnel opérationnelles sont transmises à la suite d’une demande de l’autre institution ou organe de l’Union, tant le responsable du traitement que le destinataire assument la responsabilité de la légitimité de ce transfert. Les agences et les missions de l’Union sont tenues de vérifier la compétence de l’autre institution ou organe de l’Union et d’évaluer à titre provisoire la nécessité de la transmission. Si des doutes se font jour quant à la nécessité de cette transmission, les agences et les missions de l’Union demandent au destinataire un complément d’informations. Les autres institutions et organes de l’Union veillent à ce que la nécessité de cette transmission puisse être vérifiée ultérieurement. Les autres institutions et organes de l’Union ne traitent les données à caractère personnel qu’aux fins pour lesquelles elles ont été transmises.

Amendement    95

Proposition de règlement

Article 69 nonies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 nonies

 

Traitement portant sur des catégories particulières de données à caractère personnel opérationnelles

 

Le traitement des données à caractère personnel opérationnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données à caractère personnel opérationnelles concernant la santé ou des données à caractère personnel opérationnelles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits, à moins qu’ils ne soient strictement nécessaires et proportionnés pour prévenir ou combattre les formes de criminalité relevant des objectifs des agences et des missions de l’Union, et uniquement si elles complètent d’autres données à caractère personnel déjà traitées par ces agences et missions. La sélection d’un groupe particulier de personnes sur la seule base de ces données à caractère personnel est interdite. Le délégué à la protection des données est immédiatement informé du recours au présent article. Les données à caractère personnel opérationnelles visées à l’alinéa ci-dessus ne sont pas transmises à des États membres, à des organes de l’Union, vers des pays tiers ou à des organisations internationales, à moins que cette transmission ne soit strictement nécessaire et proportionnée dans des cas particuliers concernant des formes de criminalité relevant des objectifs des agences et des missions de l’Union et que cela ne soit conforme au chapitre V.

Amendement    96

Proposition de règlement

Article 69 decies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 decies

 

Décision individuelle automatisée, y compris le profilage

 

La personne concernée a le droit de ne pas faire l’objet d’une décision des agences et des missions de l’Union fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables la concernant ou qui, de façon similaire, l’affecte de manière significative.

Amendement    97

Proposition de règlement

Article 69 undecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 undecies

 

Informations à mettre à la disposition de la personne concernée ou à lui fournir

 

1.  Les agences et les missions de l’Union prévoient que le responsable du traitement met à la disposition de la personne concernée au moins les informations suivantes:

 

(a)  l’identité et les coordonnées de l’agence ou de la mission de l’Union;

 

(b)  les coordonnées du délégué à la protection des données;

 

(c)  les finalités du traitement auquel sont destinées les données à caractère personnel opérationnelles;

 

(d)  le droit de saisir le Contrôleur européen de la protection des données et les coordonnées de ce dernier;

 

(e)  l’existence du droit de demander aux agences et missions de l’Union l’accès aux données à caractère personnel opérationnelles, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel opérationnelles relatives à la personne concernée.

 

2.  Outre les informations visées au paragraphe 1, les agences et les missions de l’Union fournissent à la personne concernée, dans des cas particuliers, les informations complémentaires suivantes afin de lui permettre d’exercer ses droits:

 

(a)  la base juridique du traitement;

 

(b)  la durée de conservation des données à caractère personnel opérationnelles ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

 

(c)  les catégories de destinataires des données à caractère personnel opérationnelles, y compris dans les pays tiers ou au sein d’organisations internationales;

 

(d)  au besoin, d’autres informations complémentaires, en particulier lorsque les données à caractère personnel opérationnelles sont collectées à l’insu de la personne concernée.

 

3.  Les agences et les missions de l’Union peuvent retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature est prévue par un acte juridique adopté sur la base des traités et constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

 

(a)  éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

 

(b)  éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

 

(c)  protéger la sécurité publique dans les États membres;

 

(d)  protéger la sécurité nationale des États membres;

 

(e)  protéger les droits et libertés d’autrui.

Amendement    98

Proposition de règlement

Article 69 duodecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 duodecies

 

Droit d’accès de la personne concernée

 

Toute personne concernée a le droit d’obtenir des agences et des missions de l’Union la confirmation que des données à caractère personnel opérationnelles la concernant sont ou ne sont pas traitées, et l’accès aux informations suivantes:

 

(a)  les finalités du traitement ainsi que sa base juridique;

 

(b)  les catégories de données à caractère personnel opérationnelles concernées;

 

(c)  les destinataires ou catégories de destinataires auxquels les données à caractère personnel opérationnelles ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

 

(d)  la durée envisagée pendant laquelle les données à caractère personnel opérationnelles seront conservées;

 

(e)  l’existence du droit de demander aux agences et missions de l’Union la rectification ou l’effacement des données à caractère personnel opérationnelles, ou la limitation du traitement des données à caractère personnel opérationnelles relatives à la personne concernée;

 

(f)  le droit de saisir le Contrôleur européen de la protection des données et les coordonnées de ce dernier;

 

(g)  la communication des données à caractère personnel opérationnelles en cours de traitement, ainsi que toute information disponible sur l’origine de ces données.

Amendement    99

Proposition de règlement

Article 69 terdecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 terdecies

 

Limitations du droit d’accès

 

1.  Les agences et les missions de l’Union peuvent limiter, entièrement ou partiellement, le droit d’accès de la personne concernée, dès lors et aussi longtemps qu’une telle limitation entière ou partielle est prévue par un acte juridique adopté sur la base des traités et constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

 

(a)  éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

 

(b)  éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

 

(c)  protéger la sécurité publique dans les États membres;

 

(d)  protéger la sécurité nationale des États membres;

 

(f)  protéger les droits et libertés d’autrui.

 

2.  Dans les cas visés au paragraphe 1, les agences et les missions de l’Union informent la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au paragraphe 1. Les agences et les missions de l’Union informent la personne concernée de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne. Les agences et les missions de l’Union consignent les motifs de fait ou de droit sur lesquels se fonde la décision. Cette information est mise à la disposition du Contrôleur européen de la protection des données sur demande.

Amendement    100

Proposition de règlement

Article 69 quaterdecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 quaterdecies

 

Droit de rectification ou d’effacement des données à caractère personnel opérationnelles et limitation du traitement

 

1.  Toute personne concernée a le droit d’obtenir des agences et des missions de l’Union, dans les meilleurs délais, la rectification des données à caractère personnel opérationnelles la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel opérationnelles incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. Les agences et les missions de l’Union effacent dans les meilleurs délais les données à caractère personnel opérationnelles et la personne concernée a le droit d’obtenir des agences et des missions de l’Union l’effacement dans les meilleurs délais de données à caractère personnel opérationnelles la concernant lorsque le traitement constitue une violation des articles 68 ter, 69 quater ou 69 nonies, ou lorsque les données à caractère personnel opérationnelles doivent être effacées pour respecter une obligation légale à laquelle sont soumises les agences et les missions de l’Union.

 

 

(a)  l’exactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non; ou

 

(b)  les données à caractère personnel doivent être conservées à des fins probatoires.

 

2.  Lorsque le traitement est limité en vertu du premier alinéa, point a), les agences et les missions de l’Union informent la personne concernée avant de lever la limitation du traitement. Les données soumises à limitation ne sont traitées que pour les finalités qui ont empêché leur effacement.

 

3.  Les agences et les missions de l’Union informent la personne concernée par écrit de tout refus de rectifier ou d’effacer des données à caractère personnel opérationnelles ou de limiter le traitement, ainsi que des motifs du refus. Les agences et les missions de l’Union peuvent limiter, entièrement ou partiellement, l’obligation de fournir ces informations, dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

 

(a)  éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

 

(b)  éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

 

(c)  protéger la sécurité publique dans les États membres;

 

(d)  protéger la sécurité nationale des États membres;

 

(f)  protéger les droits et libertés d’autrui.

 

4.  Les agences et les missions de l’Union informent la personne concernée de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

 

5.  Les agences et les missions de l’Union communiquent la rectification des données à caractère personnel inexactes à l’autorité compétente dont proviennent les données à caractère personnel opérationnelles inexactes.

 

6.  Lorsque des données à caractère personnel opérationnelles ont été rectifiées ou effacées ou que le traitement a été limité en application des paragraphes 1, 2 et 3, les agences et les missions de l’Union adressent une notification aux destinataires et les informent qu’ils doivent rectifier ou effacer les données à caractère personnel opérationnelles ou limiter le traitement des données à caractère personnel opérationnelles sous leur responsabilité.

Amendement    101

Proposition de règlement

Article 69 quindecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 quindecies

 

Exercice des droits de la personne concernée et vérification par le Contrôleur européen de la protection des données

 

Dans les cas visés à l’article 69 undecies, paragraphe 3, à l’article 69 duodecies et à l’article 69 quaterdecies, paragraphe 4, les droits de la personne concernée peuvent également être exercés par l’intermédiaire du Contrôleur européen de la protection des données.

 

Les agences et les missions de l’Union informent la personne concernée de la possibilité qu’elle a d’exercer ses droits par l’intermédiaire du Contrôleur européen de la protection des données en application du paragraphe 1.

 

Lorsque le droit visé au paragraphe 1 est exercé, le Contrôleur européen de la protection des données informe au moins la personne concernée du fait qu’il a procédé à toutes les vérifications nécessaires ou à un examen. Le Contrôleur européen de la protection des données informe également la personne concernée de son droit de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

Amendement    102

Proposition de règlement

Article 69 sexdecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 sexdecies

 

Journalisation

 

Les agences et les missions de l’Union établissent des journaux pour toutes les opérations de traitement suivantes dans des systèmes de traitement automatisé: la collecte, la modification, la consultation, la communication, y compris les transferts, l’interconnexion et l’effacement des données à caractère personnel opérationnelles et l’accès à celles-ci.

 

Les journaux des opérations de consultation et de communication permettent d’établir le motif, la date et l’heure de ces opérations, l’identification de la personne qui a consulté ou communiqué les données à caractère personnel opérationnelles, ainsi que, dans la mesure du possible, l’identité des destinataires de ces données à caractère personnel opérationnelles. Ces journaux ne sont utilisés que pour contrôler la protection des données et pour garantir le traitement approprié des données ainsi que leur intégrité et leur sécurité. Il n’est pas possible de modifier ces journaux. Ces journaux sont effacés au bout de trois ans, sauf s’ils demeurent nécessaires à un contrôle en cours. Les agences et les missions de l’Union mettent les journaux à la disposition du Contrôleur européen de la protection des données et de leurs délégués à la protection des données respectifs sur demande.

Amendement    103

Proposition de règlement

Article 69 septdecies (nouveau)

 

Texte proposé par la Commission

Amendement

 

Article 69 septdecies

 

Transfert de données à caractère personnel opérationnelles à des pays tiers ou à des organisations internationales

 

1.  Sous réserve de restrictions éventuelles prévues à l’article 69 terdecies, les agences ou les missions de l’Union peuvent transférer des données à caractère personnel opérationnelles à une autorité d’un pays tiers ou à une organisation internationale, dans la mesure où ce transfert est nécessaire à l’exécution des tâches des agences ou des missions de l’Union, sur la base de l’un des éléments suivants:

 

(a)  une décision de la Commission adoptée conformément à l’article 36 de la directive (UE) 2016/680, selon laquelle le pays tiers ou un territoire ou un secteur de traitement de données au sein de ce pays tiers, ou l’organisation internationale en question, assure un niveau de protection adéquat (ci-après dénommée «décision d’adéquation»);

 

(b)  un accord international conclu entre l’Union et le pays tiers ou l’organisation internationale concerné(e), en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne, offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes;

 

(c)  un accord de coopération autorisant l’échange de données opérationnelles à caractère personnel, conclu avant la date d’application des actes juridiques constitutifs respectifs des agences de l’Union, entre les agences ou les missions de l’Union et ledit pays tiers ou ladite organisation internationale, conformément à l’article 23 de la décision 2009/371/JAI. Les agences et les missions de l’Union peuvent conclure des arrangements administratifs afin de mettre en œuvre ces accords ou ces décisions d’adéquation.

 

2.  Le cas échéant, le directeur exécutif informe le conseil d’administration des échanges de données à caractère personnel opérationnelles effectués sur la base de décisions d’adéquation conformément au paragraphe 1, point a).

 

3.  Les agences et les missions de l’Union publient sur leur site internet et tiennent à jour une liste des décisions des décisions d’adéquation, des accords, des arrangements administratifs et des autres instruments liés au transfert de données à caractère personnel opérationnelles conformément au paragraphe 1.

 

4.  Au plus tard le 14 juin 2021, la Commission évalue les dispositions figurant dans les accords de coopération visés au paragraphe 1, point c), en particulier celles concernant la protection des données. La Commission informe le Parlement européen et le Conseil du résultat de cette évaluation et peut, le cas échéant, présenter au Conseil une recommandation de décision autorisant l’ouverture de négociations en vue de la conclusion d’un accord international visé au paragraphe 1, point b).

 

5.  Par dérogation au paragraphe 1, le cas échéant, le directeur exécutif peut autoriser le transfert de données à caractère personnel opérationnelles vers un pays tiers ou à une organisation internationale, au cas par cas, si ce transfert est:

 

(a)  nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne;

 

(b)  nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l’État membre transférant les données à caractère personnel le prévoit;

 

(c)  essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers;

 

(d)  nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales; ou

 

(e)  nécessaire dans des cas particuliers à la constatation, à l’exercice ou à la défense d’un droit en justice en rapport avec la prévention et la détection d’une infraction pénale spécifique, les enquêtes et les poursuites en la matière, ou avec l’exécution d’une sanction pénale spécifique.

 

Les données à caractère personnel opérationnelles ne sont pas transférées si le directeur exécutif estime que les libertés et les droits fondamentaux de la personne concernée prévalent sur l’intérêt public dans le cadre du transfert visé aux points d) et e).

 

Aucune dérogation ne peut être applicable aux transferts systématiques, en masse ou structurels.

 

6.  Par dérogation au paragraphe 1, le cas échéant, le conseil d’administration peut, en accord avec le CEPD, autoriser, pour une période ne pouvant dépasser un an, renouvelable, une série de transferts conformément au paragraphe 5, points a) à e), compte tenu de l’existence de garanties adéquates en ce qui concerne la protection de la vie privée et des libertés et des droits fondamentaux des personnes physiques. Cette autorisation doit être dûment justifiée et documentée.

 

7.  Le directeur exécutif informe le conseil d’administration et le Contrôleur européen de la protection des données dans les meilleurs délais des cas dans lesquels le paragraphe 5 a été appliqué.

 

8.  Les agences et les missions de l’Union tiennent un relevé détaillé de tous les transferts effectués au titre du présent article.

Amendement    104

Proposition de règlement

CHAPITRE IX bis (nouveau) – titre

Texte proposé par la Commission

Amendement

 

CHAPITRE IX bis

 

Réexamen

Amendement    105

Proposition de règlement

Article 70 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 70 bis

 

Clause de réexamen

 

1.  Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du présent règlement, accompagné, le cas échéant, des propositions législatives appropriées.

 

2.  L’évaluation ex post prévue au paragraphe 1 accorde une attention particulière à la pertinence du champ d’application du présent règlement et à sa cohérence avec les autres actes législatifs relevant du domaine de la protection des données, et apprécie en particulier la mise en œuvre du chapitre V du présent règlement.

 

3.  Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du chapitre VIII du présent règlement et sur les sanctions appliquées.

Justification

Mieux légiférer, et en particulier utiliser efficacement les évaluations ex post pour rendre compte de l’intégralité du cycle législatif, implique de suivre avec une attention particulière la transposition, l’application et le respect du droit de l’Union et, de manière plus générale, de surveiller ses incidences, son fonctionnement et son efficacité. Une clause de réexamen exhaustif exigeant une évaluation appropriée de l’application du présent règlement, de son champ d’application et des dérogations de pouvoirs prévues répond à cet objectif, de même que la mise en place d’obligations proportionnées en matière d’établissement de rapports.

Amendement    106

Proposition de règlement

Article 70 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 70 ter

 

Réexamen des actes juridiques de l’Union

 

Le 25 mai 2021 au plus tard, la Commission réexamine d’autres actes juridiques qui réglementent le traitement des données à caractère personnel et qui ont été adoptés en vertu des traités, en particulier par les agences créées en vertu des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, afin d’apprécier la nécessité de mettre ces actes juridiques en conformité avec le présent règlement et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour garantir une approche cohérente de la protection des données à caractère personnel dans le cadre du présent règlement.

Amendement    107

Proposition de règlement

Article 71 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 bis

 

Modifications du règlement (CE) nº 1987/2006

 

Le règlement (UE) nº 1987/2006 du Parlement européen et du Conseil1 bis est modifié comme suit:

 

L’article 46 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (CE) nº 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) (JO L 381 du 28.12.2006, p. 4).

Amendement    108

Proposition de règlement

Article 71 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 ter

 

Modifications de la décision du Conseil 2007/533/JAI

 

La décision 2007/533/JAI1 bis du Conseil est modifiée comme suit:

 

L’article 62 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Décision 2007/533/JAI du Conseil du 12 juin 2007 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) (JO L 205 du 7.8.2007, p. 63).

Amendement    109

Proposition de règlement

Article 71 quater (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 quater

 

Modifications du règlement (CE) nº 767/2008

 

Le règlement (UE) nº 767/2008 du Parlement européen et du Conseil1 bis est modifié comme suit:

 

L’article 43 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (CE) nº 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS), JO L 218 du 13.8.2008, p. 60.

Amendement    110

Proposition de règlement

Article 71 quinquies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 quinquies

 

Modifications du règlement (CE) nº 515/97 du Conseil

 

Le règlement (CE) nº 515/971 bis du Conseil est modifié comme suit:

 

À l’article 37, le paragraphe 4 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (CE) nº 515/97 du Conseil du 13 mars 1997 relatif à l’assistance mutuelle entre les autorités administratives des États membres et à la collaboration entre celles-ci et la Commission en vue d’assurer la bonne application des règlementations douanière et agricole (JO L 82 du 22.3.1997, p. 1).

Amendement    111

Proposition de règlement

Article 71 sexies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 sexies

 

Modifications de la décision du Conseil 2009/917/JAI

 

La décision 2009/917/JAI1 bis du Conseil est modifiée comme suit:

 

(1)  l’article 25 est supprimé.

 

(2)  à l’article 26, les paragraphes 2 et 3 sont remplacés par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes (JO L 323 du 10.12.2009, p. 20).

Amendement    112

Proposition de règlement

Article 71 septies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 septies

 

Modifications du règlement (UE) nº 1024/2012

 

Le règlement (UE) nº 1024/2012 du Parlement européen et du Conseil1 bis est modifié comme suit:

 

À l’article 21, les paragraphes 3 et 4 sont supprimés.

 

_________________

 

1 bis Règlement (UE) nº 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») (JO L 316 du 14.11.2012, p. 1).

Amendement    113

Proposition de règlement

Article 71 octies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 octies

 

Modifications du règlement d’exécution (UE) 2015/2447 de la Commission

 

Le règlement d’exécution (UE) 2015/2447 de la Commission1 bis est modifié comme suit:

 

À l’article 83, le paragraphe 8 est supprimé.

 

_________________

 

1 bis Règlement d’exécution (UE) 2015/2447 de la Commission du 24 novembre 2015 établissant les modalités d’application de certaines dispositions du règlement (UE) nº 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union (JO L 343 du 29.12.2015, p. 558).

Amendement    114

Proposition de règlement

Article 71 nonies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 nonies

 

Modifications du règlement (UE) nº 2016/794

 

Le règlement (UE) nº 2016/794 du Parlement européen et du Conseil1 bis est modifié comme suit:

 

(1)  Les articles 25, 28, 30, 36, 37, 40, 41 et 46 sont supprimés.

 

(2)  L’article 44 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

Amendement    115

Proposition de règlement

Article 71 decies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 decies

 

Modifications du règlement (UE) 2017/XX du Conseil

 

Le règlement (CE) nº 2017/...1 bis du Conseil est modifié comme suit:

 

(1)  Les articles 36 sexies, 36 septies, 37, 37 ter, 37 quater, 37 quater quater, 37quater quater quater, 37 quinquies, 37 sexies, 37 septies, 37 octies, 37 nonies, 37 decies, 37 undecies, 37 duodecies, 37 quindecies, 37 sexdecies, 41, 41 bis, 41 ter, 43 bis, 43 ter, 43 quater, 43 quinquies, 43 sexies et 46 sont supprimés.

 

(2)  L’article 45 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (UE) 2017/... du Conseil du... mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L ...).

Amendement    116

Proposition de règlement

Article 71 undecies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 undecies

 

Modifications du règlement (UE) 2017/XX

 

Le règlement (UE) 2017/... du Parlement européen et du Conseil1 bis est modifié comme suit:

 

(1)  Les articles 27, 29, 30, 31, 33, 36 et 37 sont supprimés.

 

(2)  L’article 35 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (UE) 2017/... du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) (JO L ...).

Amendement    117

Proposition de règlement

Article 71 duodecies (nouveau)

Texte proposé par la Commission

Amendement

 

Article 71 duodecies

 

Modifications du règlement (UE) 2017/XX relatif à Eurodac

 

Le règlement (UE) 2017/... du Parlement européen et du Conseil1 bis est modifié comme suit:

 

(1)  Les articles 29, 30, 31 et 39 sont supprimés.

 

(2)  L’article 34 est remplacé par le texte suivant:

 

«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]».

 

_________________

 

1 bis Règlement (UE) 2017/... du Parlement européen et du Conseil relatif à la création d’«Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du [règlement (UE) nº 604/2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride], et de l’identification des ressortissants de pays tiers ou apatrides en séjour irrégulier, et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et par Europol à des fins répressives (JO L ...).

EXPOSÉ DES MOTIFS

I.  Contexte de la proposition

L’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (traité FUE), introduit par le traité de Lisbonne, établit le principe selon lequel toute personne a droit à la protection des données à caractère personnel la concernant. En outre, avec l’article 16, paragraphe 2, du traité FUE, le traité de Lisbonne a créé une base juridique spécifique pour l’adoption de règles en matière de protection des données à caractère personnel. L’article 8 de la charte des droits fondamentaux de l’Union européenne consacre la protection des données à caractère personnel en tant que droit fondamental, tandis que l’article 7 consacre le droit de toute personne au respect de sa vie privée et familiale, de son domicile et de ses communications.

Le droit à la protection des données à caractère personnel s’applique au traitement de ces données par les institutions, organes et organismes de l’Union. Le règlement (CE) nº 45/2001, principal instrument législatif de l’Union en matière de protection des données à caractère personnel dans les institutions européennes, a été adopté en 2001 dans deux objectifs: protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel au sein de l’Union. Il a été complété par la décision nº 1247/2002/CE.

Le 27 avril 2016, le Parlement européen et le Conseil ont adopté le règlement général sur la protection des données (règlement (UE) 2016/679), qui sera applicable à partir du 25 mai 2018. Dans son article 98, le règlement général sur la protection des données demande que le règlement (CE) nº 45/2001 soit adapté aux principes et règles fixés par le règlement général sur la protection des données, dans le double objectif de mettre en place un cadre de protection des données solide et cohérent dans l’Union et de permettre aux deux instruments d’être appliqués en même temps. Le même jour, le Parlement européen et le Conseil ont adopté la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. Cette directive prévoit un cadre global pour la protection des données à caractère personnel dans le domaine de l’application de la loi. Son article 62 demande que la législation de l’Union régissant le traitement des données à caractère personnel par les autorités compétentes soit adaptée à la directive. Néanmoins, certains organismes de l’Union opérant dans le domaine de l’application de la loi continuent d’avoir des régimes autonomes pour la protection des données à caractère personnel.

Il est logique, dans le cadre de l’approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, d’aligner, autant que possible, les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles relatives à la protection des données adoptées pour les États membres. Chaque fois que les dispositions de la proposition se fondent sur le même concept que les dispositions du règlement général sur la protection des données, ces deux dispositions devraient être interprétées de manière homogène, notamment en raison du fait que l’économie de la proposition devrait être comprise comme le pendant de l’économie du règlement général sur la protection des données.

Le réexamen du règlement (CE) nº 45/2001 tient également compte des résultats des enquêtes et des consultations des parties prenantes, et de l’étude d’évaluation sur son application au cours des 15 dernières années.

II.  Modifications apportées par la rapporteure

Globalement, la rapporteure est d’avis que la révision proposée est un pas important vers une harmonisation des règles en matière de protection des données et constitue une bonne base de travail.

Elle regrette toutefois que la Commission européenne n’ait pas opté pour un véritable instrument unique couvrant toutes les opérations de traitement de données de toutes les institutions, organes et organismes de l’Union, ratant ainsi une occasion historique de créer une norme solide et uniforme pour la protection du droit fondamental à la protection des données. La rapporteure estime que les citoyens de l’Union méritent une telle norme claire et uniforme, c’est pourquoi elle a proposé de préciser le champ d’application du présent règlement.

Afin d’assurer un cadre solide et cohérent pour la protection des données dans l’ensemble de l’Union, il convient que le présent règlement soit applicable à tous les traitements de données à caractère personnel effectués par une institution, un organe ou un organisme de l’Union. Dans le même temps, votre rapporteure relève que le législateur a opté, le 27 avril 2016, en faveur d’une double approche en ce qui concerne le traitement à des fins d’application de la loi. Pour autant que le traitement de données à caractère personnel à des fins d’application de la loi par les organismes de l’Union soit compatible avec les règles énoncées dans la directive (UE) 2016/680, les régimes autonomes pour certains organismes devraient continuer à s’appliquer jusqu’à la mise en conformité avec le présent règlement.

Votre rapporteure a également entrepris un strict alignement de la présente révision du règlement avec le règlement général sur la protection des données, afin de rationaliser autant que possible ces deux textes, exprimant ainsi l’idée que l’Union est tenue aux mêmes normes que les États membres lorsqu’il s’agit de la protection des données. Dans ce contexte, la rapporteure a présenté un certain nombre d’amendements visant à rationaliser les deux instruments. Les divergences entre le présent règlement et le règlement général sur la protection des données devraient être dûment justifiées et limitées au minimum.

Au cours des dernières années, sur la question de la relation entre le règlement (CE) nº 45/2001 et le règlement (CE) nº 1049/2001, la Cour de justice de l’Union européenne a constaté, dans plusieurs cas, qu’il est nécessaire de trouver un équilibre entre les deux droits fondamentaux et elle a implicitement demandé au législateur de mieux préciser le lien entre l’article 4 du règlement (CE) nº 1049/2001 et l’article 8 (actuellement l’article 9) du règlement (CE) nº 45/2001. La rapporteure a suivi une approche consistant à introduire dans le texte des éléments de plusieurs affaires judiciaires récentes (Bavarian Lager, Dennekamp, ClientEarth) qui, en substance, définissent les éléments actuels de la jurisprudence de la Cour de justice et visent à préciser certains aspects qui ont été mis en évidence par la Cour et l’avocat général lui-même dans plusieurs jugements.

En ce qui concerne l’exercice des droits de la personne concernée, le règlement général sur la protection des données exige que les éventuelles restrictions à l’exercice de ces droits se fondent sur des actes juridiques. En conséquence, la rapporteure propose de supprimer dans ce cas la possibilité pour les institutions, organes et organismes de l’Union de restreindre l’exercice des droits de la personne concernée par voie de règles internes.

En vertu du règlement (CE) nº 45/2001, le délégué à la protection des données des institutions de l’Union doit tenir un registre des activités de traitement. La rapporteure estime qu’il y a une valeur ajoutée à obliger les institutions, organes, et organismes de l’Union à tenir un registre central des opérations de traitement. Les personnes concernées devraient pouvoir consulter ce registre via le délégué à la protection des données.

Le règlement général sur la protection des données prévoit la possibilité pour les responsables du traitement de démontrer la conformité avec le règlement par l’application de mécanismes de certification ou codes de conduite approuvés. Votre rapporteure estimant que les codes de conduite ne sont pas pertinents pour l’administration publique, elle propose d’insérer les dispositions nécessaires pour les responsables du traitement dans le présent règlement, pour démontrer la conformité par l’application de mécanismes de certification approuvés.

Votre rapporteure juge extrêmement importante la contribution du Contrôleur européen de la protection des données au respect des dispositions du règlement, et a donc conservé la formulation du règlement (CE) nº 45/2001 afin de permettre à la Commission de consulter le CEPD au cours de la phase préparatoire à l’adoption d’une proposition, laissant à la Commission une marge de manœuvre suffisante, respectant ainsi son droit d’initiative. La rapporteure constate que le contrôle indépendant des règles en matière de protection des données est une exigence au titre des traités. En conséquence, tous les organes et institutions, y compris la Cour de justice, devraient faire l’objet d’un contrôle indépendant par le CEPD. Afin de préserver l’indépendance du CEPD, la rapporteure propose de modifier légèrement la procédure de nomination.

La proposition de la Commission comprend des dispositions en matière de confidentialité des communications. La rapporteure estime que, en règle générale, la législation de l’Union en la matière devrait être applicable aux institutions, organes et organismes de l’Union également. Seules des règles supplémentaires tendant à préciser et à compléter le cadre général devraient être insérées dans le texte. Ces règles devraient faire partie d’une section distincte du texte.

Enfin, votre rapporteure se félicite de l’inclusion de la possibilité pour le CEPD d’infliger une amende aux institutions, organes et organismes de l’Union qui ne respectent pas les dispositions strictes du règlement, envoyant ainsi un signal fort aux personnes concernées et prouvant que l’Union est tenue à une obligation morale et juridique aussi élevée que les administrations des États membres.

AVIS de la commission des affaires juridiques (05.10.2017)

à l’intention de la commission des libertés civiles, de la justice et des affaires intérieures

sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.
(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

Rapporteur pour avis: Angel Dzhambazki

JUSTIFICATION SUCCINCTE

Le principe selon lequel toute personne physique a droit à la protection des données à caractère personnel la concernant est consacré par l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (TFUE). L’article 16, paragraphe 2, du TFUE offre une base juridique spécifique pour l’adoption de règles en la matière. L’article 8 de la charte des droits fondamentaux de l’Union européenne érige en outre la protection de ces données en droit fondamental.

Le droit à la protection des données à caractère personnel s’applique au traitement de telles données par les institutions et organes de l’Union. Le règlement (CE) n° 45/2001, principal instrument législatif de l’Union en matière de protection des données à caractère personnel dans les institutions européennes, a été adopté en 2001 dans deux objectifs: protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel au sein de l’Union.

Le Parlement européen et le Conseil ont adopté le 27 avril 2016 le règlement (UE) 2016/697 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Celui-ci s’appliquera à partir du 25 mai 2018. Le règlement général sur la protection des données demande que le règlement (CE) n° 45/2001 soit adapté aux principes et règles fixés par le règlement (UE) 2016/679, dans le double objectif de mettre en place un cadre de protection des données solide et cohérent dans l’Union et de permettre aux deux instruments d’être appliqués en même temps.

Dans sa proposition, la Commission présente les modifications nécessaires pour que le règlement de 2001 soit adapté de façon juste et équilibrée au règlement général sur la protection des données. Sur un point toutefois, la proposition s’écarte de manière infondée du règlement général sur la protection des données, à savoir l’âge de consentement pour les mineurs.

AMENDEMENT

La commission des affaires juridiques invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à prendre en considération les amendements suivants:

Amendement    1

Proposition de règlement

Considérant 1

Texte proposé par la Commission

Amendement

(1)  La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

(1)  La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la Convention européenne des droits de l’homme.

Amendement    2

Proposition de règlement

Considérant 2

Texte proposé par la Commission

Amendement

(2)  Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil11 donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes de l’Union en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union.

(2)  Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil11 donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes de l’Union en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Le règlement (CE) nº 45/2001 poursuit deux objectifs: protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel au sein de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union.

_________________

_______________

11 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

11 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

Amendement    3

Proposition de règlement

Considérant 5

Texte proposé par la Commission

Amendement

(5)  Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions et organes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679.

(5)  Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne1 bis, être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679.

 

_________________

 

1 bis Voir l’arrêt de la Cour de justice du mardi 9 mars 2010 dans l’affaire C-518/07, Commission/Allemagne, ECLI:EU:C:2010:125, points 26 et 28.

Amendement    4

Proposition de règlement

Considérant 10

Texte proposé par la Commission

Amendement

(10)  Lorsque l’acte fondateur d’une agence de l’Union menant des activités relevant des chapitres 4 et 5 du titre V du traité établit un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel, il convient que ce régime ne soit pas affecté par le présent règlement. Toutefois, conformément à l’article 62 de la directive (UE) 2016/680, la Commission devrait, au plus tard le 6 mai 2019, réexaminer les actes juridiques adoptés par l’Union qui réglementent le traitement par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

(10)  Lorsque l’acte fondateur d’une agence de l’Union menant des activités relevant des chapitres 4 et 5 du titre V du traité établit un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel, il convient que ce régime ne soit pas affecté par le présent règlement, pour autant qu’il soit conforme aux dispositions du règlement (UE) 2016/679. Toutefois, conformément à l’article 62 de la directive (UE) 2016/680, la Commission devrait, au plus tard le 6 mai 2019, réexaminer les actes juridiques adoptés par l’Union qui réglementent le traitement par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

Justification

Tout régime de protection des données doit être conforme au règlement général sur la protection des données.

Amendement    5

Proposition de règlement

Considérant 14

Texte proposé par la Commission

Amendement

(14)  Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé.

(14)  Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. Toutefois, la personne concernée devrait avoir le droit de retirer son consentement à tout moment, sans porter atteinte à la légalité du traitement fondé sur le consentement effectué avant le retrait de celui-ci.

Amendement    6

Proposition de règlement

Considérant 18

Texte proposé par la Commission

Amendement

(18)  Le droit de l’Union incluant les règles internes visées dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme.

(18)  Le droit de l’Union devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme.

Amendement    7

Proposition de règlement

Considérant 23

Texte proposé par la Commission

Amendement

(23)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

(23)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. De telles données à caractère personnel ne devraient pas être traitées à moins que leur traitement ne soit autorisé dans des cas spécifiques indiqués par le présent règlement. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales.

Amendement    8

Proposition de règlement

Considérant 23 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(23 bis)  Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée devraient être traitées à des fins liées à la santé uniquement lorsqu’il est nécessaire de parvenir à ces fins dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de santé ou d’aide sociale. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, en cas de besoins spécifiques, en particulier lorsque le traitement de ces données est effectué à certaines fins liées à la santé par des personnes soumises à une obligation juridique de secret professionnel. Le droit de l’Union devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques.

Amendement    9

Proposition de règlement

Considérant 24

Texte proposé par la Commission

Amendement

(24)  Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil15 , à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins par des tiers.

(24)  Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures proportionnées, appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil15 , à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées ultérieurement à d’autres fins.

_________________

_________________

15 Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

15 Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

Justification

Les données relatives à la santé sont particulièrement sensibles et leur traitement doit être spécifiquement limité aux cas absolument nécessaires. Il convient en particulier que ces données ne soient pas transférées à des tiers qui pourraient les traiter ultérieurement.

Amendement    10

Proposition de règlement

Considérant 37– alinéa 1

Texte proposé par la Commission

Amendement

Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, au droit à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.

Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.

Amendement    11

Proposition de règlement

Considérant 37– alinéa 2

Texte proposé par la Commission

Amendement

Si aucune limitation n’est prévue dans les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, ces institutions et ces organes peuvent, dans un cas spécifique, imposer une limitation ad hoc à certains principes spécifiques ainsi qu’aux droits d’une personne concernée si cette limitation respecte l’essence des libertés et droits fondamentaux et, en ce qui concerne l’opération de traitement spécifique, si elle est nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs mentionnés au premier alinéa. La limitation devrait être notifiée au délégué à la protection des données. Il y a lieu que toutes les limitations respectent les exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

supprimé

Amendement    12

Proposition de règlement

Considérant 42

Texte proposé par la Commission

Amendement

(42)  Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient pouvoir établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient aussi pouvoir rendre ce registre public.

(42)  Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient pouvoir établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient rendre ce registre public. Les personnes concernées devraient avoir la possibilité de consulter ce registre par l’intermédiaire du délégué à la protection des données du responsable du traitement.

Amendement    13

Proposition de règlement

Considérant 46

Texte proposé par la Commission

Amendement

(46)  Afin que la personne concernée puisse prendre les précautions qui s’imposent, il convient que le responsable du traitement lui communique toute violation de données à caractère personnel dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. De telles communications aux personnes concernées devraient être effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec le Contrôleur européen de la protection des données, dans le respect des directives données par celui-ci ou par d’autres autorités compétentes, telles que les autorités répressives.

(46)  Afin que la personne concernée puisse prendre les précautions qui s’imposent, il convient que le responsable du traitement lui communique toute violation de données à caractère personnel dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique. La communication devrait être confidentielle et décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. De telles communications aux personnes concernées devraient être effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec le Contrôleur européen de la protection des données, dans le respect des directives données par celui-ci ou par d’autres autorités compétentes, telles que les autorités répressives.

Amendement    14

Proposition de règlement

Considérant 52

Texte proposé par la Commission

Amendement

(52)  Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne devrait pas être compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

(52)  Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement devrait être respecté, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement, du règlement (UE) 2016/679 et des droits et libertés fondamentaux consacrés par la charte. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

Amendement    15

Proposition de règlement

Considérant 54

Texte proposé par la Commission

Amendement

(54)  En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l’insuffisance de la protection des données dans un pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des clauses types de protection des données adoptées par la Commission, à des clauses types de protection des données adoptées par le Contrôleur européen de la protection des données ou à des clauses contractuelles autorisées par le Contrôleur européen de la protection des données. Lorsque le sous-traitant n’est ni une institution ni un organe de l’Union, lesdites garanties appropriées peuvent également consister en des règles d’entreprise contraignantes, des codes de conduite et des mécanismes de certification utilisés pour les transferts internationaux conformément au règlement (UE) 2016/79. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée pour le traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et par défaut. Des transferts peuvent également être effectués par des institutions et organes de l’Union vers des autorités publiques ou des organismes publics dans des pays tiers ou vers des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, tels qu’un protocole d’accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L’autorisation du Contrôleur européen de la protection des données devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

supprimé

Amendement    16

Proposition de règlement

Article 1 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que des règles relatives à la libre circulation des données à caractère personnel entre ces institutions, organes et organismes ou vers des destinataires établis dans l’Union et soumis au règlement (UE) 2016/67918 ou aux dispositions de droit interne adoptées en vertu de la directive (UE) 2016/68019.

1.  Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que des règles relatives à la libre circulation des données à caractère personnel entre ces institutions, organes et organismes ou vers des destinataires établis dans l’Union.

_________________

 

18 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (texte présentant de l’intérêt pour l’EEE) (JO L 119 du 4.5.2016, p. 1).

 

19 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

 

Amendement    17

Proposition de règlement

Article 1 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

2.  Le présent règlement protège les libertés et droits fondamentaux des personnes physiques consacrés par la charte, et en particulier leur droit à la protection des données à caractère personnel.

Amendement    18

Proposition de règlement

Article 2 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis.  Le présent règlement s’applique également aux agences de l’Union menant des activités relevant des chapitres 4 et 5 du titre V de la troisième partie du TFUE, y compris lorsque les actes fondateurs de ces agences établissent un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel. Les dispositions du présent règlement prévalent sur les dispositions contradictoires des actes fondateurs de ces agences de l’Union.

Amendement    19

Proposition de règlement

Article 4 – paragraphe 1 – point d

Texte proposé par la Commission

Amendement

d)  exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

d)  exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes ou incomplètes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

Amendement    20

Proposition de règlement

Article 8 – titre

Texte proposé par la Commission

Amendement

Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information

(Ne concerne pas la version française.)

Justification

(Ne concerne pas la version française.)

Amendement    21

Proposition de règlement

Article 8 – paragraphe 1

 

Texte proposé par la Commission

Amendement

1.  Lorsque l’article 5, paragraphe 1, point d), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 13 ans. Lorsque l’enfant est âgé de moins de 13 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

1.  Lorsque l’article 5, paragraphe 1, point d), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Amendement    22

Proposition de règlement

Article 9 – titre

Texte proposé par la Commission

Amendement

Transmission de données à caractère personnel à des destinataires, autres que les institutions et organes de l’Union, établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la directive (UE) 2016/680

Transmission de données à caractère personnel à des destinataires, autres que les institutions et organes de l’Union, établis dans l’Union

Amendement    23

Proposition de règlement

Article 9 – paragraphe 1 – point b

Texte proposé par la Commission

Amendement

b)  que la transmission des données est nécessaire et proportionnée à sa finalité et s’il n’existe aucune raison de penser que cette transmission pourrait porter atteinte aux droits, libertés et intérêts légitimes de la personne concernée.

b)  que la transmission des données est strictement nécessaire au regard des objectifs du destinataire et qu’il n’existe aucune raison de penser que ce transfert, ou l’utilisation ultérieure raisonnablement prévue de ces données à caractère personnel par le destinataire, pourrait porter atteinte aux droits, libertés et intérêts légitimes de la personne concernée.

Amendement    24

Proposition de règlement

Article 11 – alinéa unique

Texte proposé par la Commission

Amendement

Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, ne peut être effectué que s’il est autorisé par le droit de l’Union, ce qui peut inclure des règles internes, prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées.

Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, ne peut être effectué que s’il est autorisé par le droit de l’Union prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées.

Amendement    25

Proposition de règlement

Article 16 – paragraphe 5 – point b

Texte proposé par la Commission

Amendement

b)  la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;

b)  la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;

Amendement    26

Proposition de règlement

Article 25 – paragraphe 1 – partie introductive

Texte proposé par la Commission

Amendement

1.  Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

1.  Des actes juridiques adoptés sur la base des traités peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

Justification

L’amendement vise à aligner les dispositions du présent règlement sur celles du règlement général sur la protection des données, conformément à l’avis du Contrôleur européen de la protection des données.

Amendement    27

Proposition de règlement

Article 25 – paragraphe 1 – point d

 

Texte proposé par la Commission

Amendement

d)   la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques;

d)   la sécurité interne des institutions et organes de l’Union, notamment de leurs systèmes informatiques et de leurs réseaux de communications électroniques;

Amendement    28

Proposition de règlement

Article 25 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

1 bis.  En particulier, les actes juridiques visés au paragraphe 1 contiennent des dispositions spécifiques relatives, au moins, le cas échéant:

 

a)   aux finalités du traitement ou des catégories de traitement;

 

b)   aux catégories de données à caractère personnel;

 

c)   à l’étendue des limitations introduites;

 

d)   aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

 

e)   à la détermination du responsable du traitement ou des catégories de responsables du traitement;

 

f)   aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement;

 

g)   aux risques pour les droits et libertés des personnes concernées; et

 

h)   au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.

Amendement    29

Proposition de règlement

Article 25 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  Lorsqu’aucune limitation n’est prévue par un acte juridique adopté sur la base des traités ou par une règle interne conformément au paragraphe 1, les institutions et organes de l’Union peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux, en lien avec une opération de traitement spécifique, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs énumérés au paragraphe 1. La limitation est notifiée au délégué à la protection des données compétent.

supprimé

Amendement    30

Proposition de règlement

Article 25 – paragraphe 3

Texte proposé par la Commission

Amendement

3.  Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

3.  Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Amendement    31

Proposition de règlement

Article 25 – paragraphe 4

Texte proposé par la Commission

Amendement

4.  Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4.  Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

Amendement    32

Proposition de règlement

Article 25 – paragraphe 5

Texte proposé par la Commission

Amendement

5.  Les règles internes mentionnées aux paragraphes 1, 3 et 4 sont suffisamment claires et précises et font l’objet d’une publication adéquate.

supprimé

Amendement    33

Proposition de règlement

Article 25 – paragraphe 6

Texte proposé par la Commission

Amendement

6.  Si une limitation est imposée en vertu du paragraphe 1 ou 2, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données.

6.  Si une limitation est imposée en vertu du paragraphe 1, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données.

Amendement    34

Proposition de règlement

Article 25 – paragraphe 7

Texte proposé par la Commission

Amendement

7.  Si une limitation imposée en vertu du paragraphe 1 ou 2 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

7.  Si une limitation imposée en vertu du paragraphe 1 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

Amendement    35

Proposition de règlement

Article 25 – paragraphe 8

Texte proposé par la Commission

Amendement

8.  La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1 ou 2.

8.  La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1.

Amendement    36

Proposition de règlement

Article 31 – paragraphe 5

Texte proposé par la Commission

Amendement

(5)  Les institutions et organes de l’Union peuvent décider de tenir leurs registres des activités de traitement dans un registre central. Dans ce cas, ils peuvent également décider de mettre ce registre à la disposition du public.

(5)  Les institutions et organes de l’Union tiennent leurs registres des activités de traitement dans un registre central. Dans ce cas, ils peuvent également mettre ce registre à la disposition du public, de sorte que les personnes concernées puissent le consulter sans porter atteinte aux droits des autres personnes concernées.

Amendement    37

Proposition de règlement

Article 31 – paragraphe 5 bis (nouveau)

Texte proposé par la Commission

Amendement

 

5 bis.  Les personnes concernées ont la possibilité de consulter le registre central mentionné au paragraphe 5 par l’intermédiaire du délégué à la protection des données du responsable du traitement.

Amendement    38

Proposition de règlement

Article 34 – alinéa unique

Texte proposé par la Commission

Amendement

Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques.

Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques conformément au règlement (UE) 2017/XXXX.

Justification

La proposition de législation spécifique relative à la confidentialité des communications électroniques sera le règlement fondé sur la proposition COM(2017)0010 de la Commission, qui devrait donc être mentionnée.

Amendement    39

Proposition de règlement

Article 36

Texte proposé par la Commission

Amendement

Article 36

supprimé

Annuaires d’utilisateurs

 

1.   Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire.

 

2.   Les institutions et organes de l’Union prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans ces annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe.

 

Amendement    40

Proposition de règlement

Article 42 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  Lorsqu’un acte mentionné au paragraphe 1 revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de données à caractère personnel, la Commission peut également consulter le comité européen de la protection des données. Dans ce cas, le Contrôleur européen de la protection des données et le comité européen de la protection des données coordonnent leurs travaux en vue de formuler un avis conjoint.

2.  Lorsqu’un acte mentionné au paragraphe 1 revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de données à caractère personnel, la Commission consulte également le comité européen de la protection des données. Dans ce cas, le Contrôleur européen de la protection des données et le comité européen de la protection des données coordonnent leurs travaux en vue de formuler un avis conjoint.

Amendement    41

Proposition de règlement

Article 44 – paragraphe 4

Texte proposé par la Commission

Amendement

4.  Le délégué à la protection des données peut être un membre du personnel de l’institution ou de l’organe de l’Union, ou exercer ses missions sur la base d’un contrat de service.

4.  Le délégué à la protection des données est un membre du personnel de l’institution, de l’organe ou de l’organisme de l’Union.

Justification

L’externalisation de la tâche d’un délégué à la protection des données ne semble pas appropriée pour une institution de l’Union.

Amendement    42

Proposition de règlement

Article 46 – paragraphe 1 – point b bis (nouveau)

Texte proposé par la Commission

Amendement

 

b bis)  veiller à ce que le traitement ne porte pas atteinte aux libertés et droits fondamentaux des personnes concernées;

Amendement    43

Proposition de règlement

Article 48 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement.

1.  Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a adopté un acte d’exécution, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qui prévoit qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. L’acte d’exécution précise également son champ d’application territorial et sectoriel et nomme l’autorité de contrôle. Le chapitre V du règlement (UE) 2016/679 s’applique.

Justification

Les règles relatives au transfert des données à caractère personnel à des pays tiers ou à des institutions de pays tiers doivent être cohérentes avec les règles pertinentes du règlement général sur la protection des données afin de ne pas créer de vides ou d’incohérences juridiques. L’accent doit être mis en particulier sur le mécanisme d’examen.

Amendement    44

Proposition de règlement

Article 54 – paragraphe 1

Texte proposé par la Commission

Amendement

1.  Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats établie par la Commission est publique. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, peut décider d’organiser une audition de manière à pouvoir émettre une préférence.

1.  Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie conjointement par le Parlement européen, le Conseil et la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats est publique et comporte au moins cinq candidats. La commission compétente du Parlement européen peut décider d’organiser une audition des candidats, de manière à pouvoir émettre une préférence.

Amendement    45

Proposition de règlement

Article 54 – paragraphe 2

Texte proposé par la Commission

Amendement

2.  La liste établie par la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679.

2.  La liste établie conjointement par le Parlement européen, le Conseil et la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent des connaissances spécialisées en matière de protection des données ainsi que l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679.

Amendement    46

Proposition de règlement

Article 63 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

1 bis.  Lorsque la personne concernée est un enfant, les États membres prévoient des garanties spécifiques, en particulier à l’égard de l’aide juridique.

Justification

Étant donné que les enfants sont sans doute plus vulnérables que les adultes, des clauses spécifiques de garantie, notamment à l’égard de l’aide juridique, devraient être prévues par les États membres pour garantir les droits des enfants.

Amendement    47

Proposition de règlement

Chapitre IX bis (nouveau)

Texte proposé par la Commission

Amendement

 

Chapitre IX bis

 

Article 70 bis

 

Clause de réexamen

 

1.   Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du présent règlement, accompagné, le cas échéant, des propositions législatives appropriées.

 

2.   L’évaluation ex post prévue au paragraphe 1 accorde une attention particulière à la pertinence du champ d’application du présent règlement et à sa cohérence avec les autres actes législatifs relevant du domaine de la protection des données, et apprécie en particulier la mise en œuvre du chapitre V du présent règlement.

 

3.   Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du chapitre VIII du présent règlement et sur les sanctions appliquées.

Justification

Mieux légiférer, et en particulier utiliser efficacement les évaluations ex post pour rendre compte de l’intégralité du cycle législatif, implique de suivre avec une attention particulière la transposition, l’application et le respect du droit de l’Union et, de manière plus générale, de surveiller ses incidences, son fonctionnement et son efficacité. Une clause de réexamen exhaustif exigeant une évaluation appropriée de l’application du présent règlement, de son champ d’application et des dérogations de pouvoirs prévues répond à cet objectif, de même que la mise en place d’obligations proportionnées en matière d’établissement de rapports.

Amendement    48

Proposition de règlement

Article 72 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 72 bis

 

Réexamen des actes juridiques de l’Union

 

Le 25 mai 2021 au plus tard, la Commission réexamine d’autres actes juridiques qui réglementent le traitement des données à caractère personnel et qui ont été adoptés en vertu des traités, en particulier par les agences créées en vertu des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, afin d’apprécier la nécessité de mettre ces actes juridiques en conformité avec le présent règlement et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour garantir une approche cohérente de la protection des données à caractère personnel dans le cadre du présent règlement.

PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS

Titre

Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et libre circulation de ces données

Références

COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)

Commission compétente au fond

       Date de l’annonce en séance

LIBE

3.4.2017

 

 

 

Avis émis par

       Date de l’annonce en séance

JURI

3.4.2017

Rapporteur pour avis

       Date de la nomination

Angel Dzhambazki

28.2.2017

Examen en commission

13.7.2017

7.9.2017

 

 

Date de l’adoption

2.10.2017

 

 

 

Résultat du vote final

+:

–:

0:

17

0

4

Membres présents au moment du vote final

Max Andersson, Joëlle Bergeron, Marie-Christine Boutonnet, Jean-Marie Cavada, Mary Honeyball, Sylvia-Yvonne Kaufmann, Gilles Lebreton, Jiří Maštálka, Emil Radev, Julia Reda, Evelyn Regner, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Suppléants présents au moment du vote final

Isabella Adinolfi, Jens Rohde, Virginie Rozière, Tiemo Wölken

Suppléant (art. 200, par. 2) présent au moment du vote final

Arne Lietz

VOTE FINAL PAR APPEL NOMINALEN COMMISSION SAISIE POUR AVIS

17

+

ALDE

EFDD

PPE

S&D

VERTS/ALE

Jean-Marie Cavada, Jens Rohde

Joëlle Bergeron

Emil Radev, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Mary Honeyball, Sylvia-Yvonne Kaufmann, Arne Lietz, Evelyn Regner, Virginie Rozière, Tiemo Wölken

Max Andersson, Julia Reda

0

-

 

 

4

0

EFDD

ENF

GUE/NGL

Isabella Adinolfi

Marie-Christine Boutonnet, Gilles Lebreton

Jiri Mastálka

Légende des signes utilisés:

+  :  pour

-  :  contre

0  :  abstention

PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND

Titre

Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et libre circulation de ces données

Références

COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)

Date de la présentation au PE

12.1.2017

 

 

 

Commission compétente au fond

       Date de l’annonce en séance

LIBE

3.4.2017

 

 

 

Commissions saisies pour avis

       Date de l’annonce en séance

BUDG

3.4.2017

JURI

3.4.2017

 

 

Avis non émis

       Date de la décision

BUDG

26.1.2017

 

 

 

Rapporteure

       Date de la nomination

Cornelia Ernst

9.3.2017

 

 

 

Examen en commission

30.3.2017

21.6.2017

28.9.2017

12.10.2017

Date de l’adoption

12.10.2017

 

 

 

Résultat du vote final

+:

–:

0:

45

7

6

Membres présents au moment du vote final

Asim Ahmedov Ademov, Jan Philipp Albrecht, Gerard Batten, Heinz K. Becker, Malin Björk, Michał Boni, Caterina Chinnici, Rachida Dati, Frank Engel, Cornelia Ernst, Laura Ferrara, Raymond Finch, Lorenzo Fontana, Kinga Gál, Ana Gomes, Nathalie Griesbeck, Sylvie Guillaume, Sophia in ‘t Veld, Dietmar Köster, Barbara Kudrycka, Cécile Kashetu Kyenge, Marju Lauristin, Juan Fernando López Aguilar, Monica Macovei, Roberta Metsola, Louis Michel, Claude Moraes, József Nagy, Soraya Post, Judith Sargentini, Birgit Sippel, Branislav Škripek, Csaba Sógor, Traian Ungureanu, Bodil Valero, Marie-Christine Vergiat, Udo Voigt, Kristina Winberg, Tomáš Zdechovský, Auke Zijlstra

Suppléants présents au moment du vote final

Carlos Coelho, Ignazio Corrao, Gérard Deprez, Anna Hedh, Marek Jurek, Sylvia-Yvonne Kaufmann, Ska Keller, Andrejs Mamikins, Barbara Spinelli, Anders Primdahl Vistisen, Axel Voss

Suppléants (art. 200, par. 2) présents au moment du vote final

Beatriz Becerra Basterrechea, Czesław Hoc, Christelle Lechevalier, Olle Ludvigsson, Maria Noichl, Stanisław Ożóg, José Ignacio Salafranca Sánchez-Neyra

Date du dépôt

23.10.2017

VOTE FINAL PAR APPEL NOMINALEN COMMISSION COMPÉTENTE AU FOND

45

+

ALDE

Beatriz Becerra Basterrechea, Gérard Deprez, Nathalie Griesbeck, Sophia in ‘t Veld, Louis Michel

EFDD

Ignazio Corrao, Laura Ferrara

GUE/NGL

Malin Björk, Cornelia Ernst, Barbara Spinelli, Marie-Christine Vergiat

PPE

Asim Ahmedov Ademov, Heinz K. Becker, Michał Boni, Carlos Coelho,Rachida Dati, Frank Engel, Kinga Gál, Barbara Kudrycka, Roberta Metsola, József Nagy, José Ignacio Salafranca Sánchez-Neyra, Csaba Sógor, Traian Ungureanu, Axel Voss, Tomáš Zdechovský

S&D

Caterina Chinnici, Ana Gomes, Sylvie Guillaume, Anna Hedh, Sylvia-Yvonne Kaufmann, Cécile Kashetu Kyenge, Dietmar Köster, Marju Lauristin, Olle Ludvigsson, Juan Fernando López Aguilar, Andrejs Mamikins, Claude Moraes, Maria Noichl, Soraya Post, Birgit Sippel

VERTS/ALE

Jan Philipp Albrecht, Ska Keller, Judith Sargentini, Bodil Valero

7

-

ECR

Czesław Hoc, Marek Jurek, Monica Macovei, Stanisław Ożóg, Anders Primdahl Vistisen, Branislav Škripek

ENF

Auke Zijlstra

6

0

EFDD

Gerard Batten, Raymond Finch, Kristina Winberg

ENF

Lorenzo Fontana, Christelle Lechevalier

NI

Udo Voigt

Légende des signes utilisés:

+  :  pour

-  :  contre

0  :  abstention

Avis juridique - Politique de confidentialité