Procédure : 2012/0010(COD)
Cycle de vie en séance
Cycle relatif au document : A7-0403/2013

Textes déposés :

A7-0403/2013

Débats :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Votes :

PV 12/03/2014 - 8.12

Textes adoptés :

P7_TA(2014)0219

RAPPORT     ***I
PDF 1011kWORD 1150k
22 novembre 2013
PE 501.928v03-00 A7-0403/2013

sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données

(COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

Commission des libertés civiles, de la justice et des affaires intérieures

Rapporteur: Dimitrios Droutsas

AMENDEMENTS
PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
 EXPOSÉ DES MOTIFS
 AVIS de la commission des affaires juridiques
 PROCÉDURE

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données

(COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–   vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0010),

–   vu l'article 294, paragraphe 2, et l'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7-0024/2012),

–   vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–   vu les avis motivés soumis par le Parlement suédois et le Bundesrat allemand, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,

–   vu l'avis du contrôleur européen de la protection des données du 7 mars 2012,

–   vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,

–   vu l'article 55 de son règlement,

–   vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A7-0403/2013),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

Amendement  1

Proposition de directive

Considérant 1

Texte proposé par la Commission

Amendement

(1) La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L'article 8, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

(1) La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L'article 8, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. L'article 8, paragraphe 2, de la charte des droits fondamentaux de l'Union européenne dispose que ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi.

Amendement  2

Proposition de directive

Considérant 4

Texte proposé par la Commission

Amendement

(4) Cette évolution exige de faciliter la libre circulation des données entre les autorités compétentes au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. Cela oblige à mettre en place dans l'Union un cadre de protection des données solide et plus cohérent, assorti d'une application rigoureuse des règles.

(4) Cette évolution exige de faciliter la libre circulation des données, lorsque celle-ci est nécessaire et proportionnée, entre les autorités compétentes au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. Cela oblige à mettre en place dans l'Union un cadre de protection des données solide et plus cohérent, assorti d'une application rigoureuse des règles.

Amendement  3

Proposition de directive

Considérant 7

Texte proposé par la Commission

Amendement

(7) Il est crucial d'assurer un niveau élevé et homogène de protection des personnes physiques et de faciliter l'échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, devrait être équivalent dans tous les États membres. Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer les droits des personnes concernées et les obligations de ceux qui traitent ces données, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel.

(7) Il est crucial d'assurer un niveau élevé et homogène de protection des personnes physiques et de faciliter l'échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer les droits des personnes concernées et les obligations de ceux qui traitent ces données, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel.

Amendement  4

Proposition de directive

Considérant 8

Texte proposé par la Commission

Amendement

(8) L'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, ainsi que les règles relatives à la libre circulation de ces données.

(8) L'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, ainsi que les règles relatives à la libre circulation de leurs données à caractère personnel et au respect de leur vie privée.

Amendement  5

Proposition de directive

Considérant 11

Texte proposé par la Commission

Amendement

(11) Par conséquent, une directive distincte devrait permettre de répondre à la nature spécifique de ces domaines et de fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.

(11) Par conséquent, une directive spécifique devrait permettre de répondre à la nature spécifique de ces domaines et de fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.

Amendement  6

Proposition de directive

Considérant 15

Texte proposé par la Commission

Amendement

(15) La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application de la présente directive. La présente directive ne devrait s'appliquer ni au traitement de données à caractère personnel s'inscrivant dans le cadre d'activités ne relevant pas du champ d'application du droit de l'Union, notamment celles relatives à la sûreté de l'État, ni à celui effectué par les institutions, organes, et organismes de l'Union, tels qu'Europol ou Eurojust.

(15) La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application de la présente directive. La présente directive ne devrait pas s'appliquer au traitement de données à caractère personnel s'inscrivant dans le cadre d'activités ne relevant pas du champ d'application du droit de l'Union. Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil1 ainsi que les instruments juridiques spécifiques applicables aux agences, organes ou bureaux de l'Union devraient être alignés sur la présente directive et appliqués conformément à celle-ci.

 

___________________

 

1 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

Amendement  7

Proposition de directive

Considérant 16

Texte proposé par la Commission

Amendement

(16) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(16) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou distinguer ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable. La présente directive ne devrait pas s'appliquer aux données anonymes, à savoir toute donnée qui ne peut être reliée, directement ou indirectement, seule ou en association avec des données connexes, à une personne physique. Compte tenu de l'importance des évolutions en cours dans le cadre de la société de l'information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données de localisation concernant des personnes physiques, qui peuvent être utilisées pour différentes finalités dont la surveillance ou la création de profils, la présente directive devrait s'appliquer aux traitements portant sur ces données à caractère personnel.

 

Amendement  8

Proposition de directive

Considérant 16 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(16 bis) Tout traitement de données à caractère personnel doit être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées. Cela exige notamment de limiter les données collectées et leur durée de conservation au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou supprimées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique.

Amendement  9

Proposition de directive

Considérant 18

Texte proposé par la Commission

Amendement

(18) Tout traitement de données à caractère personnel devrait être loyal et licite à l'égard des personnes concernées. En particulier, les finalités spécifiques du traitement devraient être explicites.

supprimé

Amendement  10

Proposition de directive

Considérant 19

Texte proposé par la Commission

Amendement

(19) Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de conserver et de traiter des données à caractère personnel, collectées dans le contexte de la prévention et de la détection d'infractions pénales spécifiques, et des enquêtes et poursuites en la matière et, au-delà de ce contexte, pour acquérir une meilleure compréhension des phénomènes criminels et des tendances qui les caractérisent, recueillir des renseignements sur les réseaux criminels organisés et établir des liens entre les différentes infractions mises au jour.

supprimé

Amendement  11

Proposition de directive

Considérant 20

Texte proposé par la Commission

Amendement

(20) Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Les données à caractère personnel traitées devraient être adéquates, pertinentes et non excessives au regard des finalités du traitement. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées.

supprimé

Amendement  12

Proposition de directive

Considérant 20 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(20 bis) Le simple fait que deux finalités partagent un lien avec la prévention et la détection des infractions pénales, ou les enquêtes et les poursuites en la matière, ou avec l'exécution de sanctions pénales, ne signifie pas nécessairement qu'elles sont compatibles. Cependant, dans certains cas, un traitement ultérieur servant des finalités incompatibles devrait être possible si cela s'avère nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, ou à la prévention d'une menace grave et immédiate pour la sécurité publique. Les États membres devraient dès lors pouvoir adopter une législation nationale prévoyant de telles dérogations, dans la stricte mesure de ce qui est nécessaire. Cette législation nationale devrait contenir des garanties adéquates.

Amendement  13

Proposition de directive

Considérant 22

Texte proposé par la Commission

Amendement

(22) Dans l'interprétation et l'application des principes généraux relatifs au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, il convient de tenir compte des particularités du domaine, y compris des objectifs spécifiques poursuivis.

supprimé

Amendement  14

Proposition de directive

Considérant 23

Texte proposé par la Commission

Amendement

(23) Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes. Il importe donc d'établir une distinction aussi claire que possible entre les données à caractère personnel concernant différentes catégories de personnes, telles que les suspects, les personnes reconnues coupables d'une infraction pénale, les victimes et les tiers, tels que les témoins, les personnes détenant des informations ou des contacts utiles, et les complices de personnes soupçonnées ou condamnées.

(23) Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes. Il importe donc d'établir une distinction aussi claire que possible entre les données à caractère personnel concernant différentes catégories de personnes, telles que les suspects, les personnes reconnues coupables d'une infraction pénale, les victimes et les tiers, tels que les témoins, les personnes détenant des informations ou des contacts utiles, et les complices de personnes soupçonnées ou condamnées. Des règles spécifiques sur les conséquences de cette catégorisation devraient être prévues par les États membres, en tenant compte des différentes finalités pour lesquelles les données sont collectées et en prévoyant des garanties spécifiques pour les personnes qui ne sont pas soupçonnées d'avoir commis ou qui n'ont pas été reconnues coupables d'avoir commis une infraction pénale.

Amendement  15

Proposition de directive

Considérant 25

Texte proposé par la Commission

Amendement

(25) Pour être licite, le traitement des données à caractère personnel devrait être nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à l'exécution d'une mission d'intérêt général par une autorité compétente, prévue par la législation, à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, ou à la prévention d'une menace grave et immédiate pour la sécurité publique.

(25) Pour être licite, le traitement des données à caractère personnel devrait uniquement être autorisé lorsqu'il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à l'exécution d'une mission d'intérêt général par une autorité compétente, prévue par la législation de l'Union ou des États membres qui devrait contenir des dispositions explicites et détaillées du moins en ce qui concerne les objectifs, les données à caractère personnel, les finalités et moyens précis, désigner le responsable du traitement ou en autoriser la désignation, préciser les procédures à suivre, l'utilisation et les limitations applicables à la portée de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement.

Amendement  16

Proposition de directive

Considérant 25 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(25 bis) Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Le traitement ultérieur par des autorités compétentes à des fins relevant du champ d'application de la présente directive qui n'est pas compatible avec la finalité initiale ne devrait être autorisé que dans des cas spécifiques dans lesquels ce traitement est nécessaire au respect d'une obligation légale prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis, ou pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne, ou pour prévenir une menace grave et immédiate pour la sécurité publique. Le fait que des données soient traitées à des fins répressives n'implique pas nécessairement que cette finalité est compatible avec la finalité initiale. La notion de compatibilité d'utilisation doit être interprétée de manière restrictive.

Amendement  17

Proposition de directive

Considérant 25 ter (nouveau)

Texte proposé par la Commission

Amendement

 

(25 ter) Il convient de mettre un terme à tout traitement de données à caractère personnel contraire aux dispositions nationales adoptées en vertu de la présente directive.

Amendement  18

Proposition de directive

Considérant 26

Texte proposé par la Commission

Amendement

(26) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des droits fondamentaux et de la vie privée, notamment les données génétiques, méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que celui ne soit spécifiquement autorisé par une loi prévoyant des mesures appropriées de sauvegarde des intérêts légitimes de la personne concernée; qu'il ne soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou qu'il ne porte sur des données manifestement rendues publiques par la personne concernée.

(26) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit spécifiquement nécessaire à l'exécution d'une mission effectuée dans l'intérêt général, sur le fondement du droit de l'Union ou d'un État membre prévoyant des mesures appropriées de sauvegarde des droits fondamentaux et intérêts légitimes de la personne concernée; qu'il ne soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou qu'il ne porte sur des données manifestement rendues publiques par la personne concernée. Les données à caractère personnel sensibles ne devraient faire l'objet d'un traitement que si elles complètent d'autres données à caractère personnel déjà traitées à des fins répressives. Toute dérogation à l'interdiction du traitement de données sensibles devrait être interprétée de façon restrictive et ne pas entraîner de traitement fréquent, massif ou structurel de données à caractère personnel sensibles.

Amendement  19

Proposition de directive

Considérant 26 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(26 bis) Le traitement de données génétiques ne devrait être autorisé qu'en cas de lien génétique mis au jour dans le cadre d'une enquête criminelle ou d'une procédure judiciaire. Les données génétiques ne devraient être conservées que pendant la durée strictement nécessaire aux fins de telles enquêtes ou procédures, étant entendu que les États membres peuvent prévoir des durées de conservation plus longues selon les conditions énoncées par la présente directive.

Amendement  20

Proposition de directive

Considérant 27

Texte proposé par la Commission

Amendement

(27) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée exclusivement sur un traitement automatisé si cette dernière produit des effets juridiques défavorables pour elle, à moins que la mesure ne soit autorisée par la loi et subordonnée à des mesures appropriées de sauvegarde des intérêts légitimes de la personne concernée.

(27) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur le profilage partiel ou total par traitement automatisé. Un tel traitement qui produit des effets juridiques pour elle, ou l'affecte de façon significative, devrait être interdit, à moins qu'il ne soit autorisé par la loi et subordonné à des mesures appropriées de sauvegarde des droits fondamentaux et des intérêts légitimes de la personne concernée, y compris le droit d'obtenir des informations pertinentes sur la logique sous-tendant le profilage. Ce traitement ne devrait en aucun cas contenir, produire ou discriminer des données sur la base de catégories particulières.

Amendement  21

Proposition de directive

Considérant 28

Texte proposé par la Commission

Amendement

(28) Afin de permettre aux personnes concernées d'exercer leurs droits, toute information leur étant destinée devrait être aisément accessible et facile à comprendre, et notamment formulée en termes simples et clairs.

(28) Afin de permettre aux personnes concernées d'exercer leurs droits, toute information leur étant destinée devrait être aisément accessible et facile à comprendre, et notamment formulée en termes simples et clairs. Ces informations devraient être adaptées aux besoins des personnes concernées, en particulier lorsqu'une information est adressée spécifiquement à un enfant.

Amendement  22

Proposition de directive

Considérant 29

Texte proposé par la Commission

Amendement

(29) Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par la présente directive, notamment les moyens de demander sans frais l'accès aux données, leur rectification ou leur effacement. Le responsable du traitement devrait être tenu de répondre aux demandes de la personne concernée sans retard indu.

(29) Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par la présente directive, notamment les moyens de demander sans frais l'accès aux données, leur rectification ou leur effacement. Le responsable du traitement devrait être tenu de répondre aux demandes de la personne concernée sans retard et dans un délai d'un mois à compter de la réception de la demande. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement devrait fournir les moyens d'effectuer des demandes par voie électronique.

Amendement  23

Proposition de directive

Considérant 30

Texte proposé par la Commission

Amendement

(30) Le principe de traitement loyal exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas.

(30) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de sa base juridique, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. La personne concernée devrait en outre être informée de l'éventuelle occurrence d'un profilage et de ses conséquences escomptées. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas.

Amendement  24

Proposition de directive

Considérant 32

Texte proposé par la Commission

Amendement

(32) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, ainsi que l'identité des destinataires, y compris dans des pays tiers. Les personnes concernées devraient pouvoir obtenir une copie de leurs données personnelles faisant l'objet d'un traitement.

(32) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la base juridique, la durée de leur conservation, ainsi que l'identité des destinataires, y compris dans des pays tiers, les informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé et l'importance et les conséquences envisagées de ce traitement, le cas échéant, et d'introduire une réclamation auprès de l'autorité de contrôle ainsi que les coordonnées de cette dernière. Les personnes concernées devraient pouvoir obtenir une copie de leurs données personnelles faisant l'objet d'un traitement.

Amendement  25

Proposition de directive

Considérant 33

Texte proposé par la Commission

Amendement

(33) Les États membres devraient être autorisés à adopter des mesures législatives visant à retarder ou à limiter l'information des personnes concernées ou leur accès aux données à caractère personnel les concernant, ou à ne pas leur accorder cette information ou cet accès, dès lors qu'une telle limitation partielle ou complète représente une mesure nécessaire et proportionnée dans une société démocratique, compte dûment tenu des intérêts légitimes de la personne concernée, afin d'éviter que des recherches, enquêtes ou procédures officielles ou légales ne soient entravées, d'éviter de nuire à la prévention et à la détection des infractions pénales, aux enquêtes et poursuites en la matière, ou à l'exécution de sanctions pénales, ou afin de protéger la sécurité publique ou la sûreté de l'État, ou de protéger la personne concernée ou les droits et libertés d'autrui.

(33) Les États membres devraient être autorisés à adopter des mesures législatives visant à retarder ou à limiter l'information des personnes concernées ou leur accès aux données à caractère personnel les concernant, dès lors qu'une telle limitation partielle ou complète représente une mesure nécessaire et proportionnée dans une société démocratique, compte dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée, afin d'éviter que des recherches, enquêtes ou procédures officielles ou légales ne soient entravées, d'éviter de nuire à la prévention et à la détection des infractions pénales, aux enquêtes et poursuites en la matière, ou à l'exécution de sanctions pénales, ou afin de protéger la sécurité publique ou la sûreté de l'État, ou de protéger la personne concernée ou les droits et libertés d'autrui. Le responsable du traitement devrait évaluer l'opportunité d'une limitation partielle ou complète en procédant à un examen concret et individuel dans chaque cas.

Amendement  26

Proposition de directive

Considérant 34 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(34 bis) Toute limitation des droits de la personne concernée doit être conforme aux exigences énoncées par la charte des droits fondamentaux de l'Union européenne et par la convention européenne des droits de l'homme, telles qu'elles ont été interprétées par la Cour de justice de l'Union européenne et par la Cour européenne des droits de l'homme, et notamment respecter le contenu essentiel des droits et libertés.

Amendement  27

Proposition de directive

Considérant 35

Texte proposé par la Commission

Amendement

(35) Lorsqu'un État membre a adopté des mesures législatives limitant entièrement ou partiellement le droit d'accès, la personne concernée devrait avoir le droit de demander à l'autorité de contrôle nationale compétente de vérifier la licéité du traitement. La personne concernée devrait être informée de ce droit. Lorsque le droit d'accès est exercé par l'autorité de contrôle au nom de la personne concernée, l'autorité contrôle devrait au moins informer cette dernière que toutes les vérifications nécessaires ont été effectuées et de sa conclusion concernant la licéité du traitement en question.

(35) Lorsqu'un État membre a adopté des mesures législatives limitant entièrement ou partiellement le droit d'accès, la personne concernée devrait avoir le droit de demander à l'autorité de contrôle nationale compétente de vérifier la licéité du traitement. La personne concernée devrait être informée de ce droit. Lorsque le droit d'accès est exercé par l'autorité de contrôle au nom de la personne concernée, l'autorité contrôle devrait au moins informer cette dernière que toutes les vérifications nécessaires ont été effectuées et de sa conclusion concernant la licéité du traitement en question. L'autorité de contrôle devrait également informer la personne concernée de son droit de former un recours juridictionnel.

Amendement  28

Proposition de directive

Considérant 36

Texte proposé par la Commission

Amendement

(36) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel inexactes la concernant, et disposer d'un "droit à l'oubli numérique" à leur égard lorsque le traitement n'est pas conforme aux principes généraux énoncés dans la présente directive. Lorsque les données à caractère personnel sont traitées dans le cadre d'une enquête judiciaire ou d'une procédure pénale, le droit à l'information, le droit d'accès, de rectification et d'effacement, et le droit de limitation du traitement peuvent être exercés conformément aux règles nationales de procédure pénale.

(36) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel inexactes ou ayant fait l'objet d'un traitement illicite la concernant, et disposer d'un "droit à l'oubli numérique" à leur égard lorsque le traitement n'est pas conforme aux dispositions énoncées dans la présente directive. Cette rectification, ce complément ou cet effacement devraient être communiqués aux destinataires auxquels les données ont été communiquées et aux tiers à l'origine des données inexactes. Les responsables du traitement devraient également cesser de diffuser ces données. Lorsque les données à caractère personnel sont traitées dans le cadre d'une enquête judiciaire ou d'une procédure pénale, le droit à l'information, le droit d'accès, de rectification et d'effacement, et le droit de limitation du traitement peuvent être exercés conformément aux règles nationales de procédure pénale.

Amendement  29

Proposition de directive

Considérant 37

Texte proposé par la Commission

Amendement

(37)     Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. En particulier, le responsable du traitement devrait veiller à la conformité des opérations de traitement avec les règles adoptées conformément à la présente directive.

(37) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. En particulier, le responsable du traitement devrait veiller à la conformité de chaque opération de traitement avec les règles adoptées conformément à la présente directive et être tenu de pouvoir en apporter la preuve.

Amendement  30

Proposition de directive

Considérant 39

Texte proposé par la Commission

Amendement

(39) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, exige une répartition claire des responsabilités au titre de la présente directive, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement.

(39) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, exige une répartition claire des responsabilités au titre de la présente directive, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. La personne concernée devrait avoir le droit d'exercer ses droits au titre de la présente directive à l'égard et à l'encontre de chacun des responsables conjoints du traitement.

Amendement  31

Proposition de directive

Considérant 40 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(40 bis) Un relevé de chaque opération de traitement de données à caractère personnel devrait être établi à des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données. Ces relevés devraient être mis à la disposition de l'autorité de contrôle sur demande pour servir au contrôle du respect des exigences énoncées par la présente directive.

Amendement  32

Proposition de directive

Considérant 40 ter (nouveau)

Texte proposé par la Commission

Amendement

 

(40 ter) Lorsqu'un traitement est, du fait de sa nature, de sa portée ou de ses finalités, susceptible de présenter des risques particuliers pour les droits et les libertés des personnes concernées, le responsable du traitement ou les sous-traitants devraient effectuer une analyse d'impact relative à la protection des données portant notamment sur les mesures envisagées, les garanties et les mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec la présente directive. Les analyses d'impact devraient porter sur les systèmes et processus pertinents des opérations de traitement de données à caractère personnel et non sur des cas individuels.

Amendement  33

Proposition de directive

Considérant 41

Texte proposé par la Commission

Amendement

(41) Afin de garantir en amont une protection effective des droits et libertés des personnes concernées, le responsable du traitement ou le sous-traitant devrait, dans certains cas, consulter l'autorité de contrôle avant d'entamer le traitement.

(41) Afin de garantir en amont une protection effective des droits et libertés des personnes concernées, le responsable du traitement ou le sous-traitant devrait, dans certains cas, consulter l'autorité de contrôle avant d'entamer le traitement. De plus, lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement sont susceptibles d'exposer les droits et libertés des personnes concernées à un degré élevé de risques particuliers, l'autorité de contrôle devrait être en mesure d'empêcher, avant le début de l'opération, un traitement risqué non conforme à la présente directive, et de formuler des propositions visant à y remédier. Cette consultation peut également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées.

Amendement  34

Proposition de directive

Considérant 41 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(41 bis) Afin de préserver la sécurité et de prévenir tout traitement contraire à la présente directive, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Il convient de promouvoir la neutralité technologique pour l'établissement de normes techniques et de mesures organisationnelles afin de garantir la sécurité du traitement.

Amendement  35

Proposition de directive

Considérant 42

Texte proposé par la Commission

Amendement

(42) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer un dommage, notamment une atteinte à la réputation de la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité nationale compétente. Les personnes physiques dont les données à caractère personnel ou la vie privée pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne physique lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation, consécutifs au traitement des données à caractère personnel.

(42) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, notamment une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité nationale compétente. Les personnes physiques dont les données à caractère personnel ou la vie privée pourraient être affectées par la violation devraient en être averties sans retard afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne physique lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation, consécutifs au traitement des données à caractère personnel. La notification devrait comporter des informations sur les mesures prises par le fournisseur pour remédier à cette violation, ainsi que des recommandations à l'intention de l'abonné ou de la personne concernée. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci.

Amendement  36

Proposition de directive

Considérant 44

Texte proposé par la Commission

Amendement

(44) Le responsable du traitement ou le sous-traitant devrait désigner une personne chargée de l'aider à contrôler la bonne application des dispositions adoptées en vertu de la présente directive. Un délégué à la protection des données peut être désigné conjointement par plusieurs entités de l'autorité compétente. Les délégués à la protection des données doivent être en mesure d'accomplir leurs missions et obligations de manière effective et en toute indépendance.

(44) Le responsable du traitement ou le sous-traitant devrait désigner une personne chargée de l'aider à contrôler et à démontrer la bonne application des dispositions adoptées en vertu de la présente directive. Lorsque plusieurs autorités compétentes agissent sous le contrôle d'une autorité centrale, il devrait incomber au moins à cette autorité centrale de désigner ce délégué à la protection des données. Les délégués à la protection des données doivent être en mesure d'accomplir leurs missions et obligations de manière effective et en toute indépendance, en particulier en fixant des règles évitant les conflits d'intérêts avec d'autres missions que ces délégués accomplissent.

Amendement  37

Proposition de directive

Considérant 45

Texte proposé par la Commission

Amendement

(45) Les États membres devraient veiller à ce qu'un transfert vers un pays tiers n'ait lieu que s'il est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, et si le responsable du traitement dans le pays tiers ou dans l'organisation internationale est une autorité compétente au sens de la présente directive. Un transfert peut avoir lieu lorsque la Commission a décidé que le pays tiers ou l'organisation internationale en question garantit un niveau adéquat de protection, ou lorsque des garanties appropriées ont été offertes.

(45) Les États membres devraient veiller à ce qu'un transfert vers un pays tiers n'ait lieu que si ce transfert spécifique est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, et si le responsable du traitement dans le pays tiers ou dans l'organisation internationale est une autorité publique compétente au sens de la présente directive. Un transfert peut avoir lieu lorsque la Commission a décidé que le pays tiers ou l'organisation internationale en question garantit un niveau adéquat de protection, ou lorsque des garanties appropriées ont été offertes, ou lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant. Les données transmises aux autorités publiques compétentes dans les pays tiers ne devraient pas faire l'objet d'un traitement ultérieur pour d'autres finalités que celle au titre de laquelle elles ont été transmises.

 

Amendement  38

Proposition de directive

Considérant 45 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(45 bis) Un transfert ultérieur des autorités compétentes vers les pays tiers ou les organisations internationales auxquels des données à caractère personnel ont été transmises ne devrait être autorisé que si ce transfert ultérieur est nécessaire pour la même finalité spécifique que celle du transfert initial, et si le deuxième destinataire est également une autorité publique compétente. Les transferts ultérieurs à des fins d'application générale de la loi ne devraient pas être autorisés. L'autorité compétente qui a procédé au transfert initial devrait avoir donné son accord au transfert ultérieur.

Amendement  39

Proposition de directive

Considérant 48

Texte proposé par la Commission

Amendement

(48) La Commission devrait également pouvoir constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit, sauf lorsqu'il est fondé sur une convention internationale, des garanties appropriées ou une dérogation. Il y aurait lieu de prévoir des procédures de consultation entre la Commission et le pays tiers ou l'organisation internationale. Cependant, une telle décision de la Commission ne doit pas supprimer la possibilité d'effectuer des transferts sur le fondement de garanties appropriées ou d'une dérogation prévue par la directive.

(48) La Commission devrait également pouvoir constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit, sauf lorsqu'il est fondé sur une convention internationale, des garanties appropriées ou une dérogation. Il y aurait lieu de prévoir des procédures de consultation entre la Commission et le pays tiers ou l'organisation internationale. Cependant, une telle décision de la Commission ne doit pas supprimer la possibilité d'effectuer des transferts sur le fondement de garanties appropriées au moyen d'instruments juridiquement contraignants ou d'une dérogation prévue par la directive.

Amendement  40

Proposition de directive

Considérant 49

Texte proposé par la Commission

Amendement

(49) Les transferts qui ne sont pas fondés sur une décision constatant le caractère adéquat de la protection ne devraient être autorisés que lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant, assurant la protection des données à caractère personnel, ou lorsque le responsable du traitement ou le sous-traitant a évalué toutes les circonstances entourant le transfert ou la série de transferts de données et estime, au vu de cette évaluation, qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel. Lorsqu'il n'y a pas de motif d'autoriser le transfert, des dérogations devraient être permises si elles sont nécessaires à la sauvegarde des intérêt vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, si le droit de l'État membre qui transfère les données à caractère personnel le prévoit, ou si les dérogations sont indispensables à la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, ou, dans certains cas, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, ou, dans des cas particuliers, à la constatation, l'exercice ou la défense d'un droit en justice.

(49) Les transferts qui ne sont pas fondés sur une décision constatant le caractère adéquat de la protection ne devraient être autorisés que lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant, assurant la protection des données à caractère personnel.

Amendement  41

Proposition de directive

Considérant 49 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(49 bis) Lorsqu'il n'y a pas de raison d'autoriser le transfert, des dérogations devraient être permises si elles sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, si le droit de l'État membre qui transfère les données à caractère personnel le prévoit, ou si les dérogations sont indispensables à la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, ou, dans certains cas, à des fins de prévention et de détection des infractions pénales, d'enquête et de poursuites en la matière, ou d'exécution des sanctions pénales, ou, dans des cas particuliers, à la constatation, l'exercice ou la défense d'un droit en justice. Ces dérogations devraient être interprétées de manière restrictive et ne devraient pas permettre un transfert fréquent, massif et structurel de données à caractère personnel ni un transfert global de données qui devrait être limité aux données strictement nécessaires. De plus, la décision de transfert devrait être prise par une personne dûment autorisée et le transfert doit être documenté et devrait être communiqué à l'autorité de contrôle sur demande à des fins de vérification de la licéité du transfert.

(Une partie du considérant 49 de la proposition de la Commission est devenue le considérant 49 bis dans l'amendement du Parlement)

Amendement  42

Proposition de directive

Considérant 51

Texte proposé par la Commission

Amendement

(51) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Il appartiendrait aux autorités de contrôle de surveiller l'application des dispositions de la présente directive et de contribuer à ce que cette application soit uniforme dans l'ensemble de l'Union, pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel. À cet effet, il conviendrait que les autorités de contrôle coopèrent entre elles et avec la Commission.

(51) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Il appartiendrait aux autorités de contrôle de surveiller l'application des dispositions de la présente directive et de contribuer à ce que cette application soit uniforme dans l'ensemble de l'Union, pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel. À cet effet, il conviendrait que les autorités de contrôle coopèrent entre elles.

Amendement  43

Proposition de directive

Considérant 53

Texte proposé par la Commission

Amendement

(53) Les États membres devraient avoir la possibilité d'instituer plusieurs autorités de contrôle pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains appropriés, ainsi que des locaux et des infrastructures, nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union.

(53) Les États membres devraient avoir la possibilité d'instituer plusieurs autorités de contrôle pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains appropriés, ainsi que des locaux et des infrastructures, y compris des capacités techniques, de l'expérience et des qualifications, nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union.

Amendement  44

Proposition de directive

Considérant 54

Texte proposé par la Commission

Amendement

(54) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, et comprendre des dispositions régissant la qualification et la fonction de ces membres.

(54) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, sur base d'une consultation du parlement, et comprendre des dispositions régissant la qualification et la fonction de ces membres.

Amendement  45

Proposition de directive

Considérant 56

Texte proposé par la Commission

Amendement

(56) Afin d'assurer la cohérence du contrôle et de l'application de la présente directive dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont des pouvoirs d'enquête, d'intervention juridiquement contraignante, de décision et de sanction, en particulier en cas de réclamation introduite par des personnes physiques, ainsi que le pouvoir d'ester en justice.

(56) Afin d'assurer la cohérence du contrôle et de l'application de la présente directive dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont des pouvoirs d'enquête effectifs, le droit d'accéder à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de chaque fonction de surveillance, le droit d'accéder à tous les locaux des responsables du traitement et des sous-traitants y compris en ce qui concerne les exigences en matière de traitement des données, des pouvoirs d'intervention juridiquement contraignante, de décision et de sanction, en particulier en cas de réclamation introduite par des personnes physiques, ainsi que le pouvoir d'ester en justice.

Amendement  46

Proposition de directive

Considérant 58

Texte proposé par la Commission

Amendement

(58) Les autorités de contrôle devraient se prêter mutuellement assistance dans l'exercice de leurs fonctions, afin d'assurer une application cohérente des dispositions adoptées conformément à la présente directive.

(58) Les autorités de contrôle devraient se prêter mutuellement assistance dans l'exercice de leurs fonctions, afin d'assurer une application cohérente des dispositions adoptées conformément à la présente directive. Chaque autorité de contrôle devrait être disposée à participer à des opérations conjointes. L'autorité de contrôle requise devrait être tenue de répondre à la demande dans un délai déterminé.

Amendement  47

Proposition de directive

Considérant 59

Texte proposé par la Commission

Amendement

(59) Le comité européen de la protection des données institué par le règlement (UE) …/2012 devrait contribuer à l'application cohérente de la présente directive dans toute l'Union, notamment en conseillant la Commission et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union.

(59) Le comité européen de la protection des données institué par le règlement (UE) …/2013 devrait contribuer à l'application cohérente de la présente directive dans toute l'Union, notamment en conseillant les institutions de l'Union, en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, et à donner son avis à la Commission dans le cadre de l'élaboration des actes délégués et des actes d'exécution fondés sur la présente directive.

Amendement  48

Proposition de directive

Considérant 61

Texte proposé par la Commission

Amendement

(61) Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données les concernant et qui est constitué(e) conformément au droit d'un État membre devrait avoir le droit d'introduire une réclamation ou d'exercer le droit de recours pour le compte de personnes concernées l'ayant mandaté(e) à cet effet, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel a été commise.

(61) Tout organisme, organisation ou association agissant dans l'intérêt général constitué(e) conformément au droit d'un État membre devrait avoir le droit d'introduire une réclamation ou d'exercer le droit de recours pour le compte de personnes concernées l'ayant mandaté(e) à cet effet, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel a été commise.

Amendement  49

Proposition de directive

Considérant 64

Texte proposé par la Commission

Amendement

(64) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure.

(64) Tout dommage, y compris les dommages non pécuniaires, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure.

Amendement  50

Proposition de directive

Considérant 65 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(65 bis) La transmission de données à caractère personnel à d'autres autorités ou à des tiers privés dans l'Union est interdite sauf si celle-ci est conforme à la législation et que le destinataire est établi dans un État membre et qu'aucun intérêt spécifique légitime de la personne concernée n'empêche la transmission, et que la transmission est nécessaire, dans un cas donné, pour le responsable du traitement qui transmet les données à caractère personnel soit pour exécuter une tâche qui lui a été légalement assignée soit pour prévenir un danger grave et immédiat pour la sécurité publique, soit encore pour prévenir une atteinte grave aux droits des personnes. Le responsable du traitement devrait informer le destinataire de la finalité du traitement et l'autorité de contrôle de la transmission. Il convient également de veiller à ce que le destinataire soit informé des limitations du traitement et de garantir le respect de ces limitations.

Amendement  51

Proposition de directive

Considérant 66

Texte proposé par la Commission

Amendement

(66) Afin de remplir les objectifs de la présente directive, à savoir la protection des libertés et droits fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir le libre échange de ces dernières par les autorités compétentes au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devraient être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la notification des violations de données à caractère personnel à l'autorité de contrôle. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil.

(66) Afin de remplir les objectifs de la présente directive, à savoir la protection des libertés et droits fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir le libre échange de ces dernières par les autorités compétentes au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devraient être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés pour préciser davantage les critères et conditions des opérations de retraitement nécessitant une analyse d'impact relative à la protection des données, les critères et exigences en cas de violations de données et en ce qui concerne le niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts, en particulier avec le comité européen de la protection des données. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil.

Amendement  52

Proposition de directive

Considérant 67

Texte proposé par la Commission

Amendement

(67) Afin de garantir des conditions uniformes pour la mise en œuvre de la présente directive en ce qui concerne la documentation tenue par les responsables du traitement et les sous-traitants, la sécurité du traitement, notamment en matière de normes de cryptage, la notification d'une violation des données à caractère personnel à l'autorité de contrôle, et le niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale, il y aurait lieu de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission37.

(67) Afin de garantir des conditions uniformes pour la mise en œuvre de la présente directive en ce qui concerne la sécurité du traitement, notamment en matière de normes de cryptage et la notification d'une violation des données à caractère personnel à l'autorité de contrôle, il y aurait lieu de conférer des compétences d'exécution à la Commission. Ces pouvoirs devraient être exercés conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil37.

_____________

_______________

37 JO L 55 du 28.2.2011, p. 13.

37 Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

Amendement  53

Proposition de directive

Considérant 68

Texte proposé par la Commission

Amendement

(68) La procédure d'examen devrait être appliquée pour l'adoption de mesures relatives à la documentation tenue par les responsables du traitement et les sous-traitants, à la sécurité du traitement, à la notification d'une violation des données à caractère personnel à l'autorité de contrôle, et au niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale, puisque ces actes sont de portée générale.

(68) La procédure d'examen devrait être appliquée pour l'adoption de mesures relatives à la sécurité du traitement et à la notification d'une violation des données à caractère personnel à l'autorité de contrôle, puisque ces actes sont de portée générale.

Amendement  54

Proposition de directive

Considérant 69

Texte proposé par la Commission

Amendement

(69) La Commission devrait adopter des actes d'exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, un territoire ou secteur de traitement des données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, des raisons d'urgence impérieuses l'exigent.

supprimé

Amendement  55

Proposition de directive

Considérant 70

Texte proposé par la Commission

Amendement

(70) Étant donné que les objectifs de la présente directive, à savoir protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnelles, et garantir le libre échange de ces dernières par les autorités compétentes au sein de l'Union, ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de l'action, être mieux réalisés au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif,

(70) Étant donné que les objectifs de la présente directive, à savoir protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnelles, et garantir le libre échange de ces dernières par les autorités compétentes au sein de l'Union, ne peuvent pas être réalisés de manière suffisante par les États membres mais peuvent plutôt, en raison des dimensions ou des effets de l'action, être mieux réalisés au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre ces objectifs. Les États membres peuvent prévoir des normes plus élevées que celles établies par la présente directive.

Amendement  56

Proposition de directive

Considérant 72

Texte proposé par la Commission

Amendement

(72) Les dispositions spécifiques concernant le traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales, mentionnées dans des actes de l'Union adoptés avant la date d'adoption de la présente directive, qui régissent le traitement de données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, devraient demeurent inchangées. La Commission devrait évaluer la situation en ce qui concerne la relation entre la présente directive et les actes adoptés avant la date de son adoption, qui régissent le traitement des données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, afin d'apprécier la nécessité de mettre ces dispositions spécifiques en conformité avec la présente directive.

(72) Les dispositions spécifiques concernant le traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales, mentionnées dans des actes de l'Union adoptés avant la date d'adoption de la présente directive, qui régissent le traitement de données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, devraient demeurent inchangées. Étant donné que l'article 8 de la charte des droits fondamentaux et l'article 16 du traité sur le fonctionnement de l'Union européenne impliquent que le droit fondamental à la protection des données à caractère personnel devrait être garanti de manière systématique et homogène dans l'ensemble de l'Union, la Commission devrait évaluer, dans les deux ans suivant l'entrée en vigueur de la présente directive, la situation en ce qui concerne la relation entre la présente directive et les actes adoptés avant la date de son adoption, qui régissent le traitement des données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, et présenter des propositions adéquates en vue d'assurer la cohérence et l'homogénéité des règles juridiques relatives au traitement des données à caractère personnel par les autorités compétentes ou à l'accès des autorités désignées des États membres aux systèmes d'information créés en vertu des traités ainsi qu'au traitement des données à caractère personnel par les institutions, organes, bureaux et agences de l'Union, à des fins de prévention, d'enquête et de détection des infractions pénales et de poursuites en la matière, ou d'exécution de sanctions pénales dans le cadre de la présente directive.

Amendement  57

Proposition de directive

Considérant 73

Texte proposé par la Commission

Amendement

(73) Afin d'assurer une protection exhaustive et cohérente des données à caractère personnel dans l'Union, il conviendrait de modifier les conventions et accords internationaux conclus par les États membres avant l'entrée en vigueur de la présente directive, pour les harmoniser avec cette dernière.

(73) Afin d'assurer une protection exhaustive et cohérente des données à caractère personnel dans l'Union, il conviendrait de modifier les conventions et accords internationaux conclus par l'Union ou par les États membres avant l'entrée en vigueur de la présente directive, pour les harmoniser avec cette dernière.

Amendement  58

Proposition de directive

Considérant 76

Texte proposé par la Commission

Amendement

(76) Conformément aux articles 2 et 2 bis du protocole sur la position du Danemark, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark n'est pas lié par la présente directive ni soumis à son application. Étant donné que la présente directive développe l'acquis de Schengen, en vertu du titre V de la troisième partie du traité sur le fonctionnement de l'Union européenne, le Danemark décidera, conformément à l'article 4 dudit protocole, dans un délai de six mois après l'adoption de la présente directive, s'il transposera celle-ci dans son droit national.

(76) Conformément aux articles 2 et 2 bis du protocole sur la position du Danemark, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark n'est pas lié par la présente directive ni soumis à son application.

Amendement  59

Proposition de directive

Article 1

Texte proposé par la Commission

Amendement

Objet et objectifs

Objet et objectifs

1. La présente directive établit les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales.

1. La présente directive établit les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, et de l'exécution de sanctions pénales et des conditions de la libre circulation de ces données à caractère personnel.

2. Conformément à la présente directive, les États membres:

2. Conformément à la présente directive, les États membres:

a) protègent les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection des données à caractère personnel; et

a) protègent les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection de leurs données à caractère personnel et de leur vie privée; et

b) veillent à ce que l'échange de données à caractère personnel par les autorités compétentes au sein de l'Union ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

b) veillent à ce que l'échange de données à caractère personnel par les autorités compétentes au sein de l'Union ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

 

2 bis. La présente directive n'empêche pas les États membres de prévoir des garanties plus strictes que celles qu'elle établit.

 

Amendement  60

Proposition de directive

Article 2

Texte proposé par la Commission

Amendement

Champ d'application

Champ d'application

1. La présente directive s'applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1.

1. La présente directive s'applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1.

2. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

3. La présente directive ne s'applique pas au traitement de données à caractère personnel effectué:

3. La présente directive ne s'applique pas au traitement de données à caractère personnel effectué

a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;

dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union.

b) par les institutions, organes et organismes de l'Union.

 

Amendement  61

Proposition de directive

Article 3

Texte proposé par la Commission

Amendement

Définitions

Définitions

Aux fins de la présente directive, on entend par:

Aux fins de la présente directive, on entend par:

(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à des identifiants en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

 

(2) "données à caractère personnel": toute information se rapportant à une personne concernée;

(2) "données à caractère personnel": toute information se rapportant à une personne physique identifiée ou identifiable (la "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, par exemple à un nom, à un numéro d'identification, à des données de localisation, à un identifiant unique ou à un ou plusieurs éléments spécifiques, propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne;

 

(2 bis) "données pseudonymes": des données à caractère personnel ne pouvant être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution;

(3) "traitement de données à caractère personnel": toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation du traitement, l'effacement ou la destruction;

(3) "traitement de données à caractère personnel": toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation du traitement, l'effacement ou la destruction;

 

(3 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement;

(4) "limitation du traitement": le marquage de données à caractère personnel mises en mémoire, en vue de limiter leur traitement futur;

(4) "limitation du traitement": le marquage de données à caractère personnel mises en mémoire, en vue de limiter leur traitement futur;

(5) "fichier": tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

(5) "fichier": tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

(6) "responsable du traitement": l'autorité publique compétente qui, seule ou conjointement avec d'autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre;

(6) "responsable du traitement": l'autorité publique compétente qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre;

(7) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

(7) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

(8) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel;

(8) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel;

(9) "violation de données à caractère personnel": une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière;

(9) "violation de données à caractère personnel": la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d'une autre manière;

(10) "données génétiques": toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal;

(10) "données génétiques": toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal;

(11) "données biométriques": toutes les données relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

(11) "données biométriques": toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

(12) "données concernant la santé": toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne,

(12) "données concernant la santé": toute donnée à caractère personnel relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne;

(13) "enfant": toute personne âgée de moins de dix-huit ans;

(13) "enfant": toute personne âgée de moins de dix-huit ans;

(14) "autorités compétentes": toutes autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

(14) "autorités compétentes": toutes autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

(15) "autorité de contrôle": une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 39.

(15) "autorité de contrôle": une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 39.

Amendement  62

Proposition de directive

Article 4

Texte proposé par la Commission

Amendement

Principes relatifs au traitement des données à caractère personnel

Principes relatifs au traitement des données à caractère personnel

Les États membres prévoient que les données à caractère personnel doivent être:

Les États membres prévoient que les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

a) traitées de manière licite, loyale, transparente et vérifiable au regard de la personne concernée;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;

c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si et pour autant que les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

d) exactes et tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées;

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées;

f) traitées sous la responsabilité du responsable du traitement, qui veille au respect des dispositions adoptées en vertu de la présente directive.

f) traitées sous la responsabilité du responsable du traitement, qui garantit et est en mesure de démontrer le respect des dispositions adoptées en vertu de la présente directive;

 

f bis) traitées d'une manière qui permette effectivement à la personne concernée d'exercer ses droits, tels que visés aux articles 10 à 17;

 

f ter) traitées d'une manière protégeant contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées;

 

f quater) traitées uniquement par les membres du personnel dûment autorisés des autorités compétentes qui ont besoin de ces données pour l'exercice de leurs missions.

Amendement  63

Proposition de directive

Article 4 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 4 bis

 

Accès aux données initialement traitées à des fins autres que celles visées à l'article 1er, paragraphe 1

 

1. Les États membres prévoient que les autorités compétentes peuvent seulement avoir accès aux données à caractère personnel initialement traitées à des fins autres que celles visées à l'article 1er, paragraphe 1, dès lors que la législation de l'Union ou la législation des États membres qui les y autorise spécifiquement satisfait aux exigences énoncées à l'article 7, paragraphe 1 bis, et dispose ce qui suit:

 

a) l'accès est limité aux seuls membres dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas donné, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection des infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales;

 

b) toute demande d'accès doit être présentée par écrit et préciser le motif juridique de la demande;

 

c) la demande écrite doit être documentée; et

 

d) des garanties appropriées sont mises en œuvre afin d'assurer la protection des libertés et droits fondamentaux en relation avec le traitement des données à caractère personnel. Ces garanties sont sans préjudice des conditions spécifiques d'accès aux données à caractère personnel comme l'autorisation judiciaire conformément à la législation des États membres, et viennent compléter ces conditions.

 

2. L'accès aux données à caractère personnel détenues par des tiers privés ou d'autres autorités publiques n'est possible qu'à des fins d'enquête ou de poursuites concernant des infractions pénales, dans le respect des exigences de nécessité et de proportionnalité devant être arrêtées par le droit de l'Union et par chaque État membre dans son droit interne, en pleine conformité avec l'article 7 bis.

Amendement  64

Proposition de directive

Article 4 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 4 ter

 

Délais de conservation et d'examen

 

1. Les États membres prévoient que les données à caractère personnel traitées conformément à la présente directive sont supprimées par les autorités compétentes lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées.

 

2. Les États membres prévoient la mise en place, par les autorités compétentes, de mécanismes assurant la fixation de délais, au titre de l'article 4, applicables à l'effacement des données à caractère personnel et un examen périodique de la nécessité de conserver ces données, y compris la fixation de délais de conservation pour les différentes catégories de données à caractère personnel. Des mesures procédurales sont établies afin de garantir le respect de ces délais ou intervalles d'examen périodique.

Amendement  65

Proposition de directive

Article 5

Texte proposé par la Commission

Amendement

Distinction entre différentes catégories de personnes concernées

Différentes catégories de personnes concernées

1. Les États membres prévoient que le responsable du traitement établit, dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que:

1. Les États membres prévoient que les autorités compétentes, pour les finalités visées à l'article 1er, paragraphe 1, peuvent traiter les données à caractère personnel des seules catégories de personnes concernées suivantes, entre lesquelles le responsable du traitement des donnés établit une distinction claire:

a) les personnes à l'égard desquelles il existe des motifs sérieux de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;

a) les personnes à l'égard desquelles il existe des motifs raisonnables de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;

b) les personnes reconnues coupables d'une infraction pénale;

b) les personnes reconnues coupables d'une infraction pénale;

c) les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale;

c) les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale; et

d) les tiers à l'infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, ou une personne pouvant fournir des informations sur des infractions pénales, ou un contact ou un associé de l'une des personnes mentionnées aux points a) et b); et

d) les tiers à l'infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, ou une personne pouvant fournir des informations sur des infractions pénales, ou un contact ou un associé de l'une des personnes mentionnées aux points a) et b).

e) les personnes qui n'appartiennent à aucune des catégories susmentionnées.

 

 

2. Les données à caractère personnel des personnes concernées autres que celles visées au paragraphe 1 ne peuvent être traitées:

 

a) qu'aussi longtemps que cela s'avère nécessaire à des fins d'enquêtes ou de poursuites concernant une infraction pénale spécifique, pour évaluer la pertinence des données au regard de l'une des catégories indiquées au paragraphe 1; ou

 

b) que si ce traitement est indispensable pour atteindre des objectifs ciblés et préventifs ou à des fins d'analyse criminelle, si, et pour autant que, cette finalité soit légitime, bien définie et spécifique, et que le traitement soit strictement limité à l'évaluation de la pertinence des données au regard de l'une des catégories indiquées au paragraphe 1. Ceci fait l'objet d'un réexamen régulier au moins tous les six mois. Tout autre usage est interdit.

 

3. Les États membres prévoient que les garanties et les limites complémentaires prévues par les dispositions du droit des État membres s'appliquent au traitement ultérieur des données à caractère personnel relatives aux personnes concernées visées au paragraphe 1, ponts c) et d).

Amendement  66

Proposition de directive

Article 6

Texte proposé par la Commission

Amendement

Niveaux de précision et de fiabilité des données à caractère personnel

Niveaux de précision et de fiabilité des données à caractère personnel

1. Les États membres veillent à ce qu'une distinction soit établie, dans la mesure du possible, entre les différentes catégories de données à caractère personnel soumises à un traitement, selon leur niveau de précision et de fiabilité.

1. Les États membres veillent à l'exactitude et à la fiabilité des données à caractère personnel soumises à un traitement.

2. Les États membres veillent à ce que les données à caractère personnel fondées sur des faits soient, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

2. Les États membres veillent à ce que les données à caractère personnel fondées sur des faits soient distinguées de celles fondées sur des appréciations personnelles, conformément à leur degré d'exactitude et de fiabilité.

 

2 bis. Les États membres veillent à ce que les données à caractère personnel inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, les autorités compétentes évaluent la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données, les informations disponibles sont jointes aux données, afin que l'État membre destinataire puisse juger de l'exactitude, de l'exhaustivité, de l'actualité et de la fiabilité desdites données. Les données à caractère personnel sont uniquement transmises sur demande d'une autorité compétente, en particulier les données détenues initialement par des tiers privés.

 

2 ter. S'il s'avère que des données inexactes ont été transmises ou que des données ont été transmises illicitement, le destinataire en est informé immédiatement. Le destinataire est tenu de rectifier immédiatement les données conformément au paragraphe 1 et à l'article 15 ou de les supprimer conformément à l'article 16.

 

Amendement  67

Proposition de directive

Article 7

Texte proposé par la Commission

Amendement

Licéité du traitement

Licéité du traitement

Les États membres prévoient que le traitement des données à caractère personnel n'est licite que si, et dans la mesure où, il est nécessaire:

1. Les États membres prévoient que le traitement des données à caractère personnel n'est licite que si, et dans la mesure où, il s'appuie sur le droit de l'Union ou des États membres pour les finalités exposées à l'article 1er, paragraphe 1, et qu'il est nécessaire:

(a) à l'exécution d'une mission par une autorité compétente, en vertu de la législation, pour les finalités énoncées à l'article 1er, paragraphe 1; ou

a) à l'exécution d'une mission par une autorité compétente; ou

(b) au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou

 

(c) à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

c) à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

(d) pour prévenir une menace grave et immédiate pour la sécurité publique.

d) pour prévenir une menace grave et immédiate pour la sécurité publique.

 

1 bis. La législation nationale régissant le traitement des données à caractère personnel qui relèvent de la présente directive contiennent des dispositions explicites et détaillées précisant pour le moins:

 

a) les objectifs du traitement;

 

b) les données à caractère personnel à traiter;

 

c) les finalités et moyens spécifiques du traitement;

 

d) la désignation du responsable du traitement, ou les critères spécifiques présidant à cette désignation;

 

e) les catégories de personnes dûment autorisées à traiter les données à caractère personnel;

 

f) la procédure à suivre pour le traitement;

 

g) l'utilisation pouvant être faite des données à caractère personnel recueillies;

 

h) les limitations applicables à la portée de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement.

Amendement  68

Proposition de directive

Article 7 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 7 bis

 

Traitement ultérieur à des fins incompatibles

 

1. Les États membres prévoient que le traitement ultérieur des données à caractère personnel à des fins autres que celles énoncées à l'article 1er, paragraphe 1, qui n'est pas compatible avec la finalité de la collecte initiale, n'est autorisé que si, et dans la mesure où:

 

a) ce traitement ultérieur est strictement nécessaire et proportionné dans une société démocratique et requis par la législation de l'Union ou par la législation des États membres pour une finalité légitime, bien définie et spécifique;

 

b) le traitement est strictement limité à une période n'excédant pas le laps de temps nécessaire pour l'opération spécifique de traitement des données;

 

c) toute utilisation ultérieure pour d'autres finalités est interdite.

 

Avant de procéder à tout traitement, l'État membre consulte le Contrôleur de la protection des données et procède à une analyse d'impact sur la protection des données.

 

2. Outre les exigences énoncées à l'article 7, paragraphe 1 bis, la législation des États membres autorisant le traitement ultérieur visé au paragraphe 1 contient des dispositions explicites et détaillées précisant à tout le moins:

 

a) les finalités et moyens spécifiques de ce traitement particulier;

 

b) que l'accès est limité aux seuls membres dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas donné, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection des infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales; et

 

c) que des garanties appropriées sont mises en place afin d'assurer la protection des libertés et droits fondamentaux en relation avec le traitement des données à caractère personnel.

 

Les États membres peuvent exiger que cet accès aux données à caractère personnel soit assorti de conditions supplémentaires telles qu'une autorisation judiciaire, conformément à leur législation nationale.

 

3. Ils peuvent également autoriser le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques et de recherche scientifique dès lors qu'ils mettent en place les garanties appropriées comme l'anonymisation des données.

Amendement  69

Proposition de directive

Article 8

Texte proposé par la Commission

Amendement

Traitements portant sur des catégories particulières de données à caractère personnel

Traitements portant sur des catégories particulières de données à caractère personnel

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou la vie sexuelle.

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance et les activités syndicales, ainsi que le traitement des données biométriques ou des données concernant la santé ou la vie sexuelle.

2. Le paragraphe 1 ne s'applique pas lorsque:

2. Le paragraphe 1 ne s'applique pas lorsque:

a) le traitement est autorisé par une législation prévoyant des garanties appropriées; ou

 

a) le traitement est strictement nécessaire et proportionné à l'exécution d'une mission effectuée par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1, sur la base de la législation de l'Union ou de la législation des États membres qui prévoit des garanties appropriées et spécifiques des intérêts légitimes de la personne concernée, y compris une autorisation spécifique d'une autorité judiciaire si la législation nationale l'exige; ou

b) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

b) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

c) le traitement porte sur des données manifestement rendues publiques par la personne concernée.

c) le traitement porte sur des données manifestement rendues publiques par la personne concernée à condition qu'elles soient pertinentes et strictement nécessaires au but recherché dans un cas spécifique.

Amendement  70

Proposition de directive

Article 8 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 8 bis

 

Traitement de données génétiques aux fins d'une enquête criminelle ou d'une procédure judiciaire

 

1. Les États membres veillent à ce que les données génétiques ne puissent être utilisées qu'afin d'établir un lien génétique dans le cadre de la fourniture de preuves, de la prévention d'une menace pour la sécurité publique ou de la commission d'une infraction pénale spécifique. Les données génétiques ne peuvent être utilisées pour déterminer d'autres caractéristiques susceptibles d'être génétiquement liées.

 

2. Les États membres prévoient que les données génétiques ou les informations découlant de leur analyse ne peuvent être conservées au-delà de ce qui est nécessaire aux fins pour lesquelles les données ont été traitées et lorsque la personne concernée a été reconnue coupable d'atteintes graves à la vie, l'intégrité ou la sécurité de personnes, sous réserve de durées de conservation strictes fixées par la législation des États membres.

 

3. Les États membres s'assurent que les données génétiques ou les informations découlant de leur analyse ne sont conservées pour des durées plus longues que si les données génétiques ne peuvent être attribuées à une personne, en particulier lorsqu'elles ont été trouvées sur une scène de crime.

Amendement  71

Proposition de directive

Article 9

Texte proposé par la Commission

Amendement

Mesures fondées sur le profilage et sur le traitement automatisé

Mesures fondées sur le profilage et sur le traitement automatisé

1. Les États membres prévoient que les mesures produisant des effets juridiques défavorables pour la personne concernée ou l'affectant de manière significative et qui sont prises sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à cette personne sont interdites, à moins d'être autorisées par une loi qui prévoit également des mesures destinées à préserver les intérêts légitimes de la personne concernée.

1. Les États membres prévoient que les mesures produisant des effets juridiques pour la personne concernée ou l'affectant de manière significative et qui sont prises partiellement ou entièrement sur le fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à cette personne sont interdites, à moins d'être autorisées par une loi qui prévoit également des mesures destinées à préserver les intérêts légitimes de la personne concernée.

2. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à la personne concernée ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 8.

2. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à la personne concernée ne saurait être fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 8.

 

2 bis. Le traitement automatisé de données à caractère personnel destiné à distinguer une personne concernée en l'absence d'un soupçon initial portant à croire que cette personne concernée pourrait avoir commis, ou commettre à l'avenir, une infraction pénale n'est licite que si, et pour autant que, ce traitement est strictement nécessaire pour enquêter sur une infraction pénale grave ou pour prévenir un danger clair, imminent et établi sur la base d'indications factuelles, pour la sécurité publique, l'existence de l'État ou la vie de personnes.

 

2 ter. Tout profilage qui (intentionnellement ou non) a pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale ou l'orientation sexuelle, ou qui (intentionnellement ou non) se traduit par des mesures produisant un tel effet, est interdit dans tous les cas.

Amendement  72

Proposition de directive

Article 9 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 9 bis

 

Principes généraux pour les droits de la personne concernée

 

1. Les États membres veillent à ce que la base de la protection des données soit claire et prévoie des droits clairs pour les personnes concernées, qui doivent être respectés par le responsable du traitement des données. Les dispositions de la présente directive visent à renforcer, à clarifier, à garantir et, le cas échéant, à codifier ces droits.

 

2. Les États membres veillent à ce que ces droits incluent, entre autres, la fourniture d'informations claires et facilement intelligibles sur le traitement des données à caractère personnel de la personne concernée, sur le droit d'accès, de rectification et d'effacement de ses données, le droit d'obtenir des données, le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente et d'ester en justice ainsi que le droit à une indemnisation et à des dommages-intérêts pour une opération illicite de traitement. Ces droits sont en général exercés gratuitement. Le responsable du traitement des données répond aux demandes des personnes concernées dans un délai raisonnable.

Amendement  73

Proposition de directive

Article 10

Texte proposé par la Commission

Amendement

Modalités de l'exercice des droits de la personne concernée

Modalités de l'exercice des droits de la personne concernée

1. Les États membres prévoient que le responsable du traitement prend toutes les mesures raisonnables afin d'appliquer des règles internes transparentes et facilement accessibles en ce qui concerne le traitement des données à caractère personnel, et en vue de l'exercice de leurs droits par les personnes concernées.

1. Les États membres prévoient que le responsable du traitement applique des règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel, et en vue de l'exercice de leurs droits par les personnes concernées.

2. Les États membres prévoient que le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples.

2. Les États membres prévoient que le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant.

3. Les États membres prévoient que le responsable du traitement prend toutes les mesures nécessaires afin d'établir les procédures d'information prévues à l'article 11 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 12 à 17.

3. Les États membres prévoient que le responsable du traitement établit les procédures d'information prévues à l'article 11 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 12 à 17. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement fournit les moyens d'effectuer des demandes par voie électronique.

4. Les États membres prévoient que le responsable du traitement informe, sans retard injustifié, la personne concernée des suites données sa demande.

4. Les États membres prévoient que le responsable du traitement informe sans tarder la personne concernée des suites données à sa demande et, au plus tard, dans un délai d'un mois à compter de la réception de la demande. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique.

5. Les États membres prévoient que les informations et les éventuelles mesures prises par le responsable du traitement à la suite d'une demande prévue aux paragraphes 3 et 4 sont gratuites. Lorsque les demandes sont abusives, notamment en raison de leur caractère répétitif, ou de la longueur ou du volume de la demande, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre la mesure demandée, ou peut s'abstenir de prendre cette dernière. Dans ce cas, il incombe au responsable du traitement de prouver le caractère abusif de la demande.

5. Les États membres prévoient que les informations et les éventuelles mesures prises par le responsable du traitement à la suite d'une demande prévue aux paragraphes 3 et 4 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui reflètent les coûts administratifs nécessaires pour fournir les informations ou pour prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

 

5 bis. Les États membres peuvent prévoir que la personne concernée peut faire valoir ses droits directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle compétente. Lorsque l'autorité de contrôle a agi à la demande de la personne concernée, elle informe cette dernière des vérifications effectuées.

Amendement  74

Proposition de directive

Article 11

Texte proposé par la Commission

Amendement

Informations à la personne concernée

Informations à la personne concernée

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, les États membres veillent à ce que le responsable du traitement prenne les mesures appropriées pour fournir à cette personne au moins les informations suivantes:

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, les États membres veillent à ce que le responsable du traitement fournisse à cette personne au moins les informations suivantes:

a) l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données;

a) l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement auquel les données à caractère personnel sont destinées;

b) la base juridique et les finalités du traitement auquel les données à caractère personnel sont destinées;

c) la durée pendant laquelle les données à caractère personnel seront conservées;

c) la durée pendant laquelle les données à caractère personnel seront conservées;

d) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, leur rectification, leur effacement ou la limitation de leur traitement;

d) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, leur rectification, leur effacement ou la limitation de leur traitement;

e) le droit d'introduire une réclamation auprès de l'autorité de contrôle prévue à l'article 39, et les coordonnées de ladite autorité;

e) le droit d'introduire une réclamation auprès de l'autorité de contrôle prévue à l'article 39, et les coordonnées de ladite autorité;

f) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d'organisations internationales;

f) les destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d'organisations internationales, et qui sont autorisés à accéder à ces données au titre de la législation de ladite organisation internationale, l'existence ou l'absence d'une décision adéquate par la Commission ou, en cas de transfert visé à l'article 35 ou 36, les moyens d'obtenir une copie des garanties appropriées utilisées pour le transfert;

 

f bis) lorsque le responsable du traitement traite des données à caractère personnel telles que décrites à l'article 9, paragraphe 1, les informations sur l'existence d'un traitement pour une mesure dont le type est mentionné à l'article 9, paragraphe 1, et les effets voulus de ce traitement sur la personne concernée, des informations pertinentes sur la logique sous-tendant le profilage et le droit d'obtenir une évaluation humaine;

 

f ter) les informations concernant des mesures de sécurité prises dans le but de protéger les données à caractère personnel;

g) toute autre information, dans la mesure où elle est nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont traitées.

g) toute autre information, dans la mesure où elle est nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont traitées.

2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

3. Le responsable du traitement fournit les informations visées au paragraphe 1:

3. Le responsable du traitement fournit les informations visées au paragraphe 1:

a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou

a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou

b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont traitées.

b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont traitées.

4. Les États membres peuvent adopter des mesures législatives prévoyant le retardement ou la limitation de la fourniture des informations, ou leur non-fourniture, aux personnes concernées dans la mesure où, et aussi longtemps que, cette limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des intérêts légitimes de la personne concernée:

4. Les États membres peuvent adopter des mesures législatives prévoyant le retardement ou la limitation de la fourniture des informations aux personnes concernées, dans un cas spécifique, dans la mesure où, et aussi longtemps que, cette limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée:

a) pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

a) pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b) pour éviter de nuire à la prévention, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

b) pour éviter de nuire à la prévention, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

c) pour protéger la sécurité publique;

c) pour protéger la sécurité publique;

d) pour protéger la sûreté de l'État;

d) pour protéger la sûreté de l'État;

e) pour protéger les droits et libertés d'autrui.

e) pour protéger les droits et libertés d'autrui.

5. Les États membres peuvent déterminer des catégories de traitements de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au paragraphe 4.

5. Les États membres prévoient que le responsable du traitement évalue, dans chaque cas, si une limitation partielle ou complète s'applique pour l'une des raisons énoncées au paragraphe 4, en procédant à un examen concret et individuel. Les États membres peuvent également déterminer, par voie législative, des catégories de traitements de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues aux points a), b), c) et d), du paragraphe 4.

Amendement  75

Proposition de directive

Article 12

Texte proposé par la Commission

Amendement

Droit d'accès de la personne concernée

Droit d'accès de la personne concernée

1. Les États membres prévoient le droit pour la personne concernée d'obtenir confirmation du responsable du traitement que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes:

1. Les États membres prévoient le droit pour la personne concernée d'obtenir confirmation du responsable du traitement que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit, si elles ne l'ont pas déjà été, les informations suivantes:

 

-a) l'indication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données et, le cas échéant, des informations intelligibles sur la logique associée à tout traitement automatisé;

 

-a bis) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 9;

a) les finalités du traitement;

a) les finalités du traitement ainsi que sa base juridique;

b) les catégories de données à caractère personnel concernées;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers;

c) les destinataires auxquels les données à caractère personnel ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers;

d) la durée pendant laquelle les données à caractère personnel seront conservées;

d) la durée pendant laquelle les données à caractère personnel seront conservées;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de ces données, ou la limitation de leur traitement ;

e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de ces données, ou la limitation de leur traitement ;

f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité.

g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données.

 

2. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement une copie des données à caractère personnel en cours de traitement.

2. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement une copie des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement.

(Le point g) du paragraphe 1 du texte de la Commission est devenu une partie du point -a bis) du paragraphe 1 dans l'amendement du Parlement.)

Amendement  76

Proposition de directive

Article 13

Texte proposé par la Commission

Amendement

Limitations du droit d'accès

Limitations du droit d'accès

1. Les États membres peuvent adopter des mesures législatives limitant, entièrement ou partiellement, le droit d'accès de la personne concernée, dès lors qu'une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des intérêts légitimes de la personne concernée:

1. Les États membres peuvent adopter des mesures législatives limitant, en fonction du cas spécifique, entièrement ou partiellement, le droit d'accès de la personne concernée, dès lors qu'une telle limitation partielle ou complète constitue une mesure strictement nécessaire et proportionnée dans une société démocratique, et pour le temps pendant lequel cette condition est remplie, compte étant dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée:

(a) pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

a) pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

(b) pour éviter de nuire à la prévention, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

b) pour éviter de nuire à la prévention, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

(c) pour protéger la sécurité publique;

c) pour protéger la sécurité publique;

(d) pour protéger la sûreté de l'État;

d) pour protéger la sûreté de l'État;

(e) pour protéger les droits et libertés d'autrui.

e) pour protéger les droits et libertés d'autrui.

2. Les États membres peuvent, par voie législative, déterminer des catégories de traitement de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au paragraphe 1.

2. Les États membres prévoient que le responsable du traitement évalue, dans chaque cas, si une limitation partielle ou complète s'applique pour l'une des raisons énoncées au paragraphe 1, en procédant à un examen concret et individuel. Ils peuvent également déterminer, par voie législative, des catégories de traitement de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues aux points a) à d), du paragraphe 1.

3. Dans les situations prévues aux paragraphes 1 et 2, les États membres prévoient qu'en cas de refus ou de limitation de l'accès aux données, le responsable du traitement informe la personne concernée, par écrit, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. Les motifs de fait ou de droit qui fondent la décision peuvent être omis lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 1.

3. Dans les situations prévues aux paragraphes 1 et 2, les États membres prévoient qu'en cas de refus ou de limitation de l'accès aux données, le responsable du traitement informe la personne concernée, par écrit et sans retard indu, de la justification motivée du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. Les motifs de fait ou de droit qui fondent la décision peuvent être omis lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 1.

4. Les États membres veillent à ce que le responsable du traitement conserve une trace documentaire des raisons pour lesquelles il a omis de communiquer les motifs de fait ou de droit fondant la décision.

4. Les États membres veillent à ce que le responsable du traitement conserve une trace documentaire de l'évaluation visée au paragraphe 2 ainsi que des raisons pour lesquelles il a limité la communication des motifs de fait ou de droit fondant la décision. Cette information est mise à la disposition des autorités nationales de contrôle.

Amendement  77

Proposition de directive

Article 14

Texte proposé par la Commission

Amendement

Modalités de l'exercice du droit d'accès

Modalités de l'exercice du droit d'accès

1. Les États membres prévoient le droit pour la personne concernée de demander que l'autorité de contrôle, notamment dans les cas mentionnés à l'article 13, vérifie la licéité du traitement.

1. Les États membres prévoient le droit pour la personne concernée de demander, à tout moment, que l'autorité de contrôle, notamment dans les cas mentionnés aux articles 12 et 13, vérifie la licéité du traitement.

2. L'État membre prévoit que le responsable du traitement informe la personne concernée de son droit de demander l'intervention de l'autorité de contrôle en vertu du paragraphe 1.

2. Les États membres prévoient que le responsable du traitement informe la personne concernée de son droit de demander l'intervention de l'autorité de contrôle en vertu du paragraphe 1.

3. Lorsque le droit mentionné au paragraphe 1 est exercé, l'autorité de contrôle informe la personne concernée, à tout le moins, de la réalisation de toutes les vérifications nécessaires incombant à l'autorité et du résultat concernant la licéité du traitement en question.

3. Lorsque le droit mentionné au paragraphe 1 est exercé, l'autorité de contrôle informe la personne concernée, à tout le moins, de la réalisation de toutes les vérifications nécessaires incombant à l'autorité et du résultat concernant la licéité du traitement en question. L'autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel.

 

3 bis. Les États membres peuvent prévoir que la personne concernée peut faire valoir ses droits directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle compétente.

 

3 ter. Les États membres veillent à ce que le responsable du traitement des données dispose de délais raisonnables pour répondre aux demandes des personnes concernées au sujet de l'exercice de leur droit d'accès.

Amendement  78

Proposition de directive

Article 15

Texte proposé par la Commission

Amendement

Droit à rectification

Droit à rectification et droit à compléter

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d'obtenir, notamment au moyen d'une déclaration rectificative, que les données à caractère personnel incomplètes soient complétées.

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement, notamment au moyen d'une déclaration rectificative ou complémentaire, que les données à caractère personnel la concernant qui sont inexactes ou incomplètes soient rectifiées ou complétées.

2. Les États membres prévoient qu'en cas de refus de rectification des données, le responsable du traitement informe la personne concernée, par écrit, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

2. Les États membres prévoient qu'en cas de refus de rectifier ou de compléter des données, le responsable du traitement informe la personne concernée, par écrit, à l'aide d'une justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

 

2 bis. Les États membres prévoient que le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification effectuée, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

 

2 ter. Les États membres prévoient que le responsable du traitement communique la rectification des données à caractère personnel inexactes au tiers duquel proviennent les données à caractère personnel inexactes.

 

2 quater. Les États membres prévoient que la personne concernée peut faire valoir ses droits également par l'intermédiaire de l'autorité de contrôle compétente.

Amendement  79

Proposition de directive

Article 16

Texte proposé par la Commission

Amendement

Droit à l'effacement

Droit à l'effacement

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsque le traitement n'est pas conforme aux dispositions adoptées conformément à l'article 4, points a) à e), à l'article 7 et à l'article 8 de la présente directive.

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsque le traitement n'est pas conforme aux dispositions adoptées conformément à l'article 4, à l'article 6, à l'article 7 et à l'article 8 de la présente directive.

2. Le responsable du traitement procède à l'effacement sans délai.

2. Le responsable du traitement procède à l'effacement sans délai. Le responsable du traitement cesse également de diffuser ces données.

3. Au lieu de procéder à l'effacement, le responsable du traitement marque les données à caractère personnel:

3. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel:

(a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données, lorsque cette dernière est contestée par la personne concernée;

a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données, lorsque cette dernière est contestée par la personne concernée;

(b) lorsque les données à caractère personnel doivent être conservées à des fins probatoires;

b) lorsque les données à caractère personnel doivent être conservées à des fins probatoires ou pour la protection d'intérêts vitaux de la personne concernée ou d'une autre personne.

(c) lorsque la personne concernée s'oppose à leur effacement et exige, à la place de cela, la limitation de leur utilisation.

 

 

3 bis. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 3, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

4. Les États membres prévoient que le responsable du traitement informe la personne concernée, par écrit, de tout refus d'effacer ou de marquer les données traitées, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4. Les États membres prévoient qu'en cas de refus d'effacer des données ou de limiter leur traitement, le responsable du traitement informe la personne concernée, par écrit, à l'aide d'une justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

 

4 bis. Les États membres prévoient que le responsable du traitement des données notifie aux destinataires auxquels ces données ont été transmises tout effacement réalisé ou limitation décidée conformément au paragraphe 1, à moins qu'une telle communication ne se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de l'existence de ces tiers.

 

4 ter. Les États membres peuvent prévoir que la personne concernée peut faire valoir ses droits directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle compétente.

Amendement  80

Proposition de directive

Article 18

Texte proposé par la Commission

Amendement

Obligations incombant au responsable du traitement

Obligations incombant au responsable du traitement

1. Les États membres prévoient que le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir que le traitement des données à caractère personnel sera effectué dans le respect des dispositions adoptées conformément à la présente directive.

1. Les États membres prévoient que le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être en mesure de démontrer, de manière transparente, pour chaque opération de traitement, que le traitement des données à caractère personnel sera effectué dans le respect des dispositions adoptées conformément à la présente directive, tant au moment de la définition des moyens du traitement qu'au moment du traitement proprement dit.

2. Les mesures visées au paragraphe 1 portent notamment sur:

2. Les mesures visées au paragraphe 1 portent notamment sur:

a) la tenue de la documentation visée à l'article 23;

a) la tenue de la documentation visée à l'article 23;

 

a bis) la réalisation d'une analyse d'impact relative à la protection des données en application de l'article 25 bis;

b) le respect de l'obligation de consultation préalable prévue à l'article 26;

b) le respect de l'obligation de consultation préalable prévue à l'article 26;

c) la mise en œuvre des exigences en matière de sécurité des données prévues à l'article 27;

c) la mise en œuvre des exigences en matière de sécurité des données prévues à l'article 27;

d) la désignation d'un délégué à la protection des données en application de l'article 30.

d) la désignation d'un délégué à la protection des données en application de l'article 30;

 

d bis) l'élaboration et la mise en œuvre de garanties spécifiques destinées au traitement de données à caractère personnel relatives aux enfants, lorsque cela se révèle pertinent.

3. Le responsable du traitement met en œuvre des mécanismes pour vérifier l'efficacité des mesures visées au paragraphe 1 du présent article. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification.

3. Le responsable du traitement met en œuvre des mécanismes pour vérifier le caractère approprié et l'efficacité des mesures visées au paragraphe 1 du présent article. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification.

Amendement  81

Proposition de directive

Article 19

Texte proposé par la Commission

Amendement

Protection des données dès la conception et protection des données par défaut

Protection des données dès la conception et protection des données par défaut

1. Les États membres prévoient que, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux dispositions adoptées conformément à la présente directive et garantisse la protection des droits de la personne concernée.

1. Les États membres prévoient que, compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des risques que présente le traitement des données, le responsable du traitement et le sous-traitant, le cas échéant, appliquent, tant lors de la définition des objectifs et des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées et proportionnées de manière à ce que le traitement soit conforme aux dispositions adoptées conformément à la présente directive et garantisse la protection des droits de la personne concernée, en particulier eu égard aux principes exposés à l'article 4. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement; elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Une fois que le responsable du traitement a procédé à une analyse d'impact relative à la protection des données, conformément à l'article 25 bis, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures.

2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules les données à caractère personnel nécessaires aux finalités du traitement seront traitées.

2. Le responsable du traitement s'assure que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées, conservées ou diffusées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel.

 

Amendement  82

Proposition de directive

Article 20

Texte proposé par la Commission

Amendement

Responsables conjoints du traitement

Responsables conjoints du traitement

Les États membres prévoient que, lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement doivent définir, par voie d'accord, leurs obligations respectives afin de se conformer aux dispositions adoptées conformément à la présente directive, notamment en ce qui concerne les procédures et mécanismes régissant l'exercice des droits de la personne concernée.

1. Les États membres prévoient que, lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement doivent définir, par voie d'accord juridique contraignant, leurs obligations respectives afin de se conformer aux dispositions adoptées conformément à la présente directive, notamment en ce qui concerne les procédures et mécanismes régissant l'exercice des droits de la personne concernée.

 

2. À moins que la personne concernée ne sache, pour en avoir été informée, lequel des responsables conjoints est responsable au titre du paragraphe 1, elle peut exercer ses droits en vertu de la présente directive à l'égard et à l'encontre de chacun des responsables conjoints, au nombre de deux ou plus.

Amendement  83

Proposition de directive

Article 21

Texte proposé par la Commission

Amendement

Sous-traitant

Sous-traitant

1. Les États membres prévoient que le responsable du traitement, lorsque une opération de traitement est effectué pour son compte, doit choisir un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux dispositions adoptées conformément à la présente directive et garantisse la protection des droits de la personne concernée.

1. Les États membres prévoient que le responsable du traitement, lorsqu'une opération de traitement est effectuée pour son compte, choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux dispositions adoptées conformément à la présente directive et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures.

2. Les États membres prévoient que la réalisation de traitements en sous-traitance doit être régie par un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit.

2. Les États membres prévoient que la réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant:

 

a) n'agit que sur instruction du responsable du traitement;

 

b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

 

c) prend toutes les mesures nécessaires en vertu de l'article 27;

 

d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement et informe donc ce dernier en temps utile de son intention d'engager un autre sous-traitant de manière à donner au responsable du traitement la possibilité de s'y opposer;

 

e) dans la mesure du possible compte tenu de la nature du traitement, adopte, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

 

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 25 bis à 29;

 

g) renvoie tous les résultats au responsable du traitement à l'issue du traitement et ne traite pas les données à caractère personnel d'une autre manière et détruit les copies existantes à moins que la législation de l'Union ou des États membres ne requière leur stockage;

 

h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article;

 

i) tient compte du principe de protection des données dès la conception et par défaut.

 

2 bis. Le responsable du traitement et le sous-traitant conservent une trace documentaire écrite des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.

3. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 20.

3. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 20.

Amendement  84

Proposition de directive

Article 22 – alinéa 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Lorsque le sous-traitant joue ou commence à jouer un rôle déterminant en ce qui concerne la finalité, les moyens ou les méthodes de traitement des données, ou lorsqu'il n'agit pas exclusivement sur instruction du responsable du traitement, il est considéré comme un responsable conjoint du traitement, conformément à l'article 20.

 

Amendement  85

Proposition de directive

Article 23

Texte proposé par la Commission

Amendement

Documentation

Documentation

1. Les États membres prévoient que chaque responsable du traitement et chaque sous-traitant conservent une trace documentaire de tous les systèmes et procédures de traitement sous leur responsabilité.

1. Les États membres prévoient que chaque responsable du traitement et chaque sous-traitant conservent une trace documentaire de tous les systèmes et procédures de traitement sous leur responsabilité.

2. La documentation constituée comporte au moins les informations suivantes:

2. La documentation constituée comporte au moins les informations suivantes:

a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant;

a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant;

 

a bis) un accord juridiquement contraignant, en cas de responsables conjoints du traitement; une liste des sous-traitants et des activités externalisées;

b) les finalités du traitement;

b) les finalités du traitement;

 

b bis) l'indication des services de l'organisation du responsable du traitement ou du sous-traitant chargés du traitement de données à caractère personnel dans un but spécifique;

 

b ter) une description de la catégorie ou des catégories de personnes concernées et des données ou catégories de données à caractère personnel s'y rapportant;

c) les destinataires ou les catégories de destinataires des données à caractère personnel;

c) les destinataires ou les catégories de destinataires des données à caractère personnel;

 

c bis) le cas échéant, des informations sur l'existence d'un profilage, de mesures fondées sur le profilage et de mécanismes d'opposition au profilage;

 

c ter) des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé;

d) les transferts de données vers un pays tiers ou à une organisation internationale, y compris leur identification respective.

d) les transferts de données vers un pays tiers ou à une organisation internationale, y compris leur identification respective et les motifs juridiques fondant le transfert de données; une explication substantielle est requise lorsque le transfert se fonde sur les articles 35 ou 36 de la présente directive;

 

d bis) les dates limites pour l'effacement des différentes catégories de données;

 

d ter) les résultats des contrôles des mesures prévues à l'article 18, paragraphe 1;

 

d quater) une indication de la base juridique de l'opération de traitement à laquelle les données sont destinées.

3. Le responsable du traitement et le sous-traitant mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci.

3. Le responsable du traitement et le sous-traitant mettent toute la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci.

Amendement  86

Proposition de directive

Article 24

Texte proposé par la Commission

Amendement

Établissement de relevés des opérations de traitement

Établissement de relevés des opérations de traitement

1. Les États membres veillent à ce que des relevés soient établis au moins pour les opérations de traitement suivantes: la collecte, l'altération, la consultation, la communication, l'interconnexion ou l'effacement. Les relevés des opérations de consultation et de communication indiquent en particulier la finalité, la date et l'heure de celles-ci et, dans la mesure du possible, l'identification de la personne qui a consulté ou communiqué les données à caractère personnel.

1. Les États membres veillent à ce que des relevés soient établis au moins pour les opérations de traitement suivantes: la collecte, l'altération, la consultation, la communication, l'interconnexion ou l'effacement. Les relevés des opérations de consultation et de communication indiquent en particulier la finalité, la date et l'heure de celles-ci et, dans la mesure du possible, l'identification de la personne qui a consulté ou communiqué les données à caractère personnel, ainsi que l'identité des destinataires de ces données.

2. Les relevés sont utilisés uniquement à des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données.

2. Les relevés sont utilisés uniquement à des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données, ou à des fins d'audit, que ce soit par le délégué à la protection des données, ou par l'autorité de protection des données.

 

2 bis. Le responsable du traitement et le sous-traitant mettent les relevés à la disposition de l'autorité de contrôle, à la demande de celle-ci.

Amendement  87

Proposition de directive

Article 25

Texte proposé par la Commission

Amendement

Coopération avec l'autorité de contrôle

Coopération avec l'autorité de contrôle

1. Les États membres prévoient que le responsable du traitement et le sous-traitant coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment toutes les informations dont elle a besoin à cet effet.

1. Les États membres prévoient que le responsable du traitement et le sous-traitant coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations visées à l'article 46, paragraphe 2, point a), et en autorisant l'accès, conformément à l'article 46, paragraphe 2, point b).

2. Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 46, points a) et b), le responsable du traitement et le sous-traitant répondent à l'autorité de contrôle dans un délai raisonnable. La réponse comprend une description des mesures prises et des résultats obtenus, compte tenu des observations formulées par l'autorité de contrôle.

2. Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 46, paragraphe 1, points a) et b), le responsable du traitement et le sous-traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle-ci. La réponse comprend une description des mesures prises et des résultats obtenus, compte tenu des observations formulées par l'autorité de contrôle.

Amendement  88

Proposition de directive

Article 25 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 25 bis

 

Analyse d'impact relative à la protection des données

 

1. Les États membres prévoient que le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectue une analyse de l'impact des procédures et systèmes de traitement envisagés sur la protection des données à caractère personnel, lorsque les traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, et ce avant l'introduction des nouveaux traitements ou dans les meilleurs délais si les traitements existent déjà.

 

2. En particulier, les traitements suivants sont susceptibles de présenter les risques particuliers visés au paragraphe 1:

 

a) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales;

 

b) le traitement de catégories particulières de données à caractère personnel visées à l'article 8, de données liées aux enfants et de données biométriques et de localisation aux fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales;

 

c) l'évaluation des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, le comportement de cette personne physique, qui est fondée sur un traitement automatisé et qui est susceptible d'aboutir à des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;

 

d) la surveillance de zones accessibles au public, en particulier lorsque sont utilisés des dispositifs optoélectroniques (vidéosurveillance); ou

 

e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application de l'article 26, paragraphe 1.

 

3. L'évaluation contient au minimum:

 

a) une description systématique des traitements envisagés;

 

b) une évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités fixées;

 

c) une évaluation des risques que le traitement présente pour les droits et les libertés des personnes concernées et les mesures envisagées pour pallier ces risques et limiter le volume de données à caractère personnel traité;

 

d) les mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec les dispositions adoptées conformément à la présente directive, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées;

 

e) une indication générale des délais impartis pour l'effacement des différentes catégories de données;

 

f) le cas échéant, une liste des transferts de données prévus vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 36, paragraphe 2, les documents attestant l'existence de garanties appropriées.

 

4. Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact.

 

5. Les États membres prévoient que le responsable du traitement consulte le public sur le traitement envisagé, sans préjudice de la protection de l'intérêt public ou de la sécurité des traitements.

 

6. Sans préjudice de la protection de l'intérêt public ou de la sécurité des traitements, l'évaluation doit être rendue facilement accessible au public.

 

7. La Commission est habilitée à adopter, après avoir pris l'avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 56, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l'analyse prévue au paragraphe 3, y compris les conditions de modulation, de vérification et d'audit.

Amendement  89

Proposition de directive

Article 26

Texte proposé par la Commission

Amendement

Consultation préalable de l'autorité de contrôle

Consultation préalable de l'autorité de contrôle

1. Les États membres veillent à ce que le responsable du traitement ou le sous-traitant consulte l'autorité de contrôle avant le traitement de données à caractère personnel qui feront partie d'un nouveau fichier à créer, si:

1. Les États membres veillent à ce que le responsable du traitement ou le sous-traitant consulte l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec les dispositions adoptées conformément à la présente directive et, notamment, d'atténuer les risques pour les personnes concernées:

a) le traitement vise des catégories particulières de données mentionnées à l'article 8;

a) lorsqu'une analyse d'impact relative à la protection des données telle que prévue à l'article 25 bis indique que les traitements sont, du fait de leur nature, de leur portée et/ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou

b) en raison notamment de l'utilisation de nouveaux mécanismes, technologies ou procédures, le type de traitement présente des risques spécifiques pour les libertés et droits fondamentaux, notamment la protection des données à caractère personnel, des personnes concernées.

b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements précis susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités.

 

1 bis. Lorsque l'autorité de contrôle détermine, conformément aux pouvoirs dont elle est investie, que le traitement prévu n'est pas conforme aux dispositions adoptées en vertu de la présente directive, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

2. Les États membres peuvent prévoir que l'autorité de contrôle établit une liste des traitements devant faire l'objet d'une consultation préalable conformément au paragraphe 1.

2. Les États membres font en sorte que l'autorité de contrôle, après avoir consulté le comité européen de la protection des données, établisse une liste des traitements devant faire l'objet d'une consultation préalable conformément au paragraphe 1, point b).

 

2 bis. Les États membres font en sorte que le responsable du traitement ou le sous-traitant fournisse à l'autorité de contrôle l'analyse d'impact relative à la protection des données conformément à l'article 25 bis et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

 

2 ter. Si l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme aux dispositions adoptées en vertu de la présente directive, ou que les risques ne sont pas suffisamment identifiés ou atténués, elle formule des propositions appropriées afin de remédier à cette non-conformité.

 

2 quater. Les États membres peuvent consulter l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d'assurer la conformité du traitement prévu avec la présente directive et, en particulier, d'atténuer les risques pour les personnes concernées.

Amendement  90

Proposition de directive

Article 27

Texte proposé par la Commission

Amendement

Sécurité des traitements

Sécurité des traitements

1. Les États membres prévoient que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

1. Les États membres prévoient que le responsable du traitement et le sous-traitant mettent en œuvre les mesures et les procédures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

2. En ce qui concerne le traitement automatisé de données, chaque État membre prévoit que le responsable du traitement ou le sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:

2. En ce qui concerne le traitement automatisé de données, chaque État membre prévoit que le responsable du traitement ou le sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:

(a) empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement de données à caractère personnel (contrôle de l'accès aux installations);

a) empêcher toute personne non autorisée d'accéder aux installations utilisées pour le traitement de données à caractère personnel (contrôle de l'accès aux installations);

(b) empêcher que des supports de données ne puissent être lus, copiés, modifiés ou enlevés par une personne non autorisée (contrôle des supports de données);

b) empêcher que des supports de données ne puissent être lus, copiés, modifiés ou enlevés par une personne non autorisée (contrôle des supports de données);

(c) empêcher l'introduction non autorisée de données dans le fichier, ainsi que toute inspection, modification ou effacement non autorisé de données à caractère personnel enregistrées (contrôle du stockage);

c) empêcher l'introduction non autorisée de données dans le fichier, ainsi que toute inspection, modification ou effacement non autorisé de données à caractère personnel enregistrées (contrôle du stockage);

(d) empêcher que les systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données (contrôle des utilisateurs);

d) empêcher que les systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l'aide d'installations de transmission de données (contrôle des utilisateurs);

(e) garantir que les personnes autorisées à utiliser un système de traitement automatisé de données ne puissent accéder qu'aux données sur lesquelles porte leur autorisation (contrôle de l'accès aux données);

e) garantir que les personnes autorisées à utiliser un système de traitement automatisé de données ne puissent accéder qu'aux données sur lesquelles porte leur autorisation (contrôle de l'accès aux données);

(f) garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission);

f) garantir qu'il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission);

(g) garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l'introduction);

g) garantir qu'il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l'introduction);

(h) empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport);

h) empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport);

(i) garantir que les systèmes installés puissent être rétablis en cas d'interruption (restauration);

i) garantir que les systèmes installés puissent être rétablis en cas d'interruption (restauration);

(j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).

j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité);

 

j bis) veiller à ce que, s'agissant de données à caractère personnel sensibles, au sens de l'article 8, des mesures de sécurité supplémentaires soient en place afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, contre les faiblesses et les incidents décelés qui pourraient présenter un risque pour les données.

 

2 bis. Les États membres font en sorte que les sous-traitants ne soient nommés que s'ils garantissent être en mesure de respecter les mesures techniques et organisationnelles requises en vertu du paragraphe 1 et de se conformer aux instructions visées à l'article 21, paragraphe 2, point a). L'autorité compétente contrôle le sous-traitant sur ces aspects.

3. La Commission peut adopter, si nécessaire, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, et notamment les normes de cryptage. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

3. La Commission peut adopter, si nécessaire, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, et notamment les normes de cryptage. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

Amendement  91

Proposition de directive

Article 28

Texte proposé par la Commission

Amendement

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1. Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard indu et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsque la notification a lieu après ce délai, le responsable du traitement fournit une justification à l'autorité de contrôle, sur demande.

1. Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard indu et, si possible, 24 heures au plus tard. En cas de retard, le responsable du traitement fournit une justification à l'autorité de contrôle, sur demande.

2. Le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir eu connaissance de la violation de données à caractère personnel.

2. Le sous-traitant alerte et informe le responsable du traitement de la violation de données à caractère personnel sans retard injustifié après qu'une telle violation a été établie.

3. La notification visée au paragraphe 1 doit, à tout le moins:

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrements de données concernés;

a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrements de données concernés;

b) communiquer l'identité et les coordonnées du délégué à la protection des données visé à l'article 30 ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

b) communiquer l'identité et les coordonnées du délégué à la protection des données visé à l'article 30 ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

d) décrire les conséquences éventuelles de la violation de données à caractère personnel;

d) décrire les conséquences éventuelles de la violation de données à caractère personnel;

(e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel.

e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets.

 

Au cas où toutes les informations ne pourraient pas être fournies sans retard indu, le responsable du traitement peut compléter la notification lors d'une deuxième phase.

4. Les États membres prévoient que le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquemement les informations nécessaires à cette fin.

4. Les États membres prévoient que le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin.

 

4 bis. L'autorité de contrôle tient un registre public des types de violations notifiées.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 56, aux fins de préciser davantage les critères et exigences applicables à l'établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

5. La Commission est habilitée à adopter, après avoir pris l'avis du comité européen de protection des données, des actes délégués en conformité avec l'article 56, aux fins de préciser davantage les critères et exigences applicables à l'établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l'obligation de notification ainsi que le formulaire et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l'effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l'obligation de notification ainsi que le formulaire et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l'effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

Amendement  92

Proposition de directive

Article 29

Texte proposé par la Commission

Amendement

Communication à la personne concernée d'une violation de données à caractère personnel

Communication à la personne concernée d'une violation de données à caractère personnel

1. Les États membres prévoient que, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 28, communique la violation sans retard indu à la personne concernée.

1. Les États membres prévoient que, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée de la personne concernée ou à ses droits ou intérêts légitimes, le responsable du traitement, après avoir procédé à la notification prévue à l'article 28, communique la violation sans retard indu à la personne concernée.

2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 28, paragraphe 3, points b) et c).

2. La communication à la personne concernée prévue au paragraphe 1 est exhaustive et utilise des termes clairs et simples. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 28, paragraphe 3, points b), c) et d) ainsi que des informations relatives aux droits des personnes concernées, y compris le droit de recours.

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l'autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données à caractère personnel concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l'autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données à caractère personnel concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

 

3 bis. Sans préjudice de l'obligation du responsable du traitement de notifier à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

4. La communication à la personne concernée peut être retardée, limitée ou omise pour les motifs visés à l'article 11, paragraphe 4.

4. La communication à la personne concernée peut être retardée ou limitée pour les motifs visés à l'article 11, paragraphe 4.

Amendement  93

Proposition de directive

Article 30

Texte proposé par la Commission

Amendement

Désignation du délégué à la protection des données

Désignation du délégué à la protection des données

1. Les États membres prévoient que le responsable du traitement ou le sous-traitant désigne un délégué à la protection des données.

1. Les États membres prévoient que le responsable du traitement ou le sous-traitant désigne un délégué à la protection des données.

2. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 32.

2. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 32. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.

 

2 bis. Les États membres prévoient que le responsable du traitement ou le sous-traitant veille à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts.

 

2 ter. Le délégué à la protection des données est nommé pour une période d'au moins quatre ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.

 

2 quater. Les États membres prennent des mesures afin que les personnes concernées aient le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant.

3. Le délégué à la protection des données peut être désigné pour plusieurs entités, compte tenu de la structure organisationnelle de l'autorité compétente.

3. Le délégué à la protection des données peut être désigné pour plusieurs entités, compte tenu de la structure organisationnelle de l'autorité compétente.

 

3 bis. Les États membres prévoient que le responsable du traitement ou le sous-traitant communique le nom et les coordonnées du délégué à la protection des données à l'autorité de contrôle et au public.

Amendement  94

Proposition de directive

Article 31 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis. Le responsable du traitement ou le sous-traitant aide le délégué à la protection des données à exercer ses missions et fournit tous les moyens, y compris le personnel, les locaux, les équipements, la formation professionnelle continue et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 32 et à l'entretien de ses connaissances professionnelles.

Amendement  95

Proposition de directive

Article 32

Texte proposé par la Commission

Amendement

Missions du délégué à la protection des données

Missions du délégué à la protection des données

Les États membres prévoient que le responsable du traitement ou le sous-traitant confie au délégué à la protection des données au moins les missions suivantes:

Les États membres prévoient que le responsable du traitement ou le sous-traitant confie au délégué à la protection des données au moins les missions suivantes:

(a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en application des dispositions adoptées conformément à la présente directive, et conserver une trace documentaire de cette activité et des réponses reçues;

a) sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en application des dispositions adoptées conformément à la présente directive, en particulier en ce qui concerne les mesures et procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues;

 

(b) contrôler la mise en œuvre et l'application des règles internes en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

b) contrôler la mise en œuvre et l'application des règles internes en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

(c) contrôler la mise en œuvre et l'application des dispositions adoptées conformément à la présente directive, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l'examen des demandes présentées dans l'exercice de leurs droits au titre des dispositions adoptées conformément à la présente directive;

c) contrôler la mise en œuvre et l'application des dispositions adoptées conformément à la présente directive, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l'examen des demandes présentées dans l'exercice de leurs droits au titre des dispositions adoptées conformément à la présente directive;

(d) veiller à ce que la documentation visée à l'article 23 soit tenue à jour;

d) veiller à ce que la documentation visée à l'article 23 soit tenue à jour;

(e) contrôler la documentation, la notification et la communication, prévues aux articles 28 et 29, et relatives aux violations de données à caractère personnel;

e) contrôler la documentation, la notification et la communication, prévues aux articles 28 et 29, et relatives aux violations de données à caractère personnel;

(f) vérifier que les demandes d'autorisation ou de consultation préalables ont été introduites, si celles-ci sont requises au titre de l'article 26;

f) vérifier l'application de l'analyse d'impact relative à la protection des données par le responsable du traitement ou le sous-traitant, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises au titre de l'article 26, paragraphe 1;

(g) vérifier qu'il a été répondu aux demandes de l'autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l'autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

g) vérifier qu'il a été répondu aux demandes de l'autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l'autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

(h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative.

h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative.

Amendement  96

Proposition de directive

Article 33

Texte proposé par la Commission

Amendement

Principes généraux applicables aux transferts de données à caractère personnel

Principes généraux applicables aux transferts de données à caractère personnel

Les États membres prévoient qu'un transfert, par des autorités compétentes, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après leur transfert vers un pays tiers ou à une organisation internationale, y compris un transfert ultérieur vers un autre pays tiers ou une autre organisation internationale, ne peut avoir lieu que si:

Les États membres prévoient qu'un transfert, par des autorités compétentes, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après leur transfert vers un pays tiers ou à une organisation internationale, y compris un transfert ultérieur vers un autre pays tiers ou une autre organisation internationale, ne peut avoir lieu que si:

a) le transfert est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; et

a) le transfert spécifique est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; et

 

a bis) les données sont transférées à un responsable du traitement dans un pays tiers ou à une organisation internationale qui est une autorité publique compétente aux fins visées à l'article 1er, paragraphe 1; et

 

a ter) les conditions visées au présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel d'un pays tiers ou d'une organisation internationale vers un autre pays tiers ou une autre organisation internationale; et

b) les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant.

b) les autres dispositions adoptées en vertu de la présente directive sont respectées par le responsable du traitement et le sous-traitant; et

 

b bis) il n'est pas porté atteinte au niveau de protection des données à caractère personnel garanti dans l'Union par la présente directive; et

 

b ter) la Commission a décidé, en vertu des conditions et procédures visées à l'article 34, que le pays tiers ou l'organisation internationale en question offrent un niveau de protection adéquat; ou

 

b quater) des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant, comme indiqué à l'article 35.

 

Les États membres prévoient qu'un transfert ultérieur visé au paragraphe 1 du présent article ne peut avoir lieu que si, outre les conditions fixées audit paragraphe:

 

a) le transfert ultérieur est nécessaire pour la même finalité spécifique que le transfert initial; et

 

b) l'autorité compétente qui a effectué le transfert initial autorise le transfert ultérieur.

Amendement  97

Proposition de directive

Article 34

Texte proposé par la Commission

Amendement

Transferts assortis d'une décision constatant le caractère adéquat du niveau de protection

Transferts assortis d'une décision constatant le caractère adéquat du niveau de protection

1. Les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision, conformément à l'article 41 du règlement (UE) …./2012 ou conformément au paragraphe 3 du présent article, que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation.

1. Les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision, conformément au paragraphe 3 du présent article, que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'il n'existe aucune décision adoptée en vertu de l'article 41 du règlement (UE) …./2012, la Commission apprécie le caractère adéquat du niveau de protection en prenant en considération les éléments suivants:

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:

a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sûreté de l'État et le droit pénal, et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question; ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

a) la primauté du droit, la législation pertinente en vigueur, notamment en ce qui concerne la sécurité publique, la défense, la sûreté de l'État et le droit pénal ainsi que la mise en œuvre du présent acte législatif et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question; les précédents de la jurisprudence ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d'assurer le respect des règles en matière de protection des données, d'assister et de conseiller la personne concernée dans l'exercice de ses droits et de coopérer avec les autorités de contrôle de l'Union et des États membres; et

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d'assurer le respect des règles en matière de protection des données, dotées de pouvoirs de sanctions suffisants, d'assister et de conseiller la personne concernée dans l'exercice de ses droits et de coopérer avec les autorités de contrôle de l'Union et des États membres; et

c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question.

c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant relatifs à la protection des données à caractère personnel.

3. La Commission peut constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

3. La Commission est habilitée à adopter, après avoir pris l'avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 56 afin de constater par voie de décision qu'un pays tiers, un territoire dans le pays tiers en question ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2.

4. L'acte d'exécution précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

4. L'acte délégué précise son champ d'application géographique et sectoriel et cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

 

4 bis. La Commission suit, de manière permanente, les événements susceptibles de porter atteinte au respect des éléments visés au paragraphe 2 dans les pays tiers et dans les organisations internationales par rapport auxquels un acte délégué a été adopté conformément au paragraphe 3.

5. La Commission peut constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2, ou, en cas d'extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 57, paragraphe 3.

5. La Commission est habilitée à adopter des actes délégués conformément à l'article 56 afin de constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente en vigueur dans le pays tiers ou l'organisation internationale en question ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles dont les données à caractère personnel sont transférées.

6. Les États membres veillent à ce que, lorsque la Commission adopte une décision en vertu du paragraphe 5, selon laquelle tout transfert de données à caractère personnel vers le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, cette décision soit sans préjudice des transferts effectués au titre de l'article 35, paragraphe 1, ou conformément à l'article 36. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.

6. Les États membres veillent à ce que, lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou vers l'organisation internationale en question est interdit. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers, et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers, et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

8. La Commission contrôle l'application des actes d'exécution visés aux paragraphes 3 et 5.

8. La Commission contrôle l'application des actes délégués visés aux paragraphes 3 et 5.

Amendement  98

Proposition de directive

Article 35

Texte proposé par la Commission

Amendement

Transferts moyennant des garanties appropriées

Transferts moyennant des garanties appropriées

1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 34, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu que si:

1. Lorsque la Commission n'a pas adopté de décision en vertu de l'article 34, ou lorsqu'elle constate par voie de décision qu'un pays tiers, un territoire d'un pays tiers ou une organisation internationale n'assure pas un niveau adéquat de protection conformément à l'article 34, paragraphe 5, le transfert de données à caractère personnel vers un pays tiers, un territoire d'un pays tiers ou vers une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

a) des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant; ou

 

b) le responsable du traitement ou le sous-traitant a évalué toutes les circonstances entourant le transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.

 

1. La décision de transfert au titre du paragraphe 1, point b), doit être prise par un personnel dûment habilité. Tout transfert de ce type doit faire l'objet d'une documentation, qui doit être mise à la disposition de l'autorité de contrôle, sur demande.

2. Tout transfert de ce type doit être autorisé par l'autorité de contrôle avant d'avoir lieu.

Amendement  99

Proposition de directive

Article 36

Texte proposé par la Commission

Amendement

Dérogations

Dérogations

 

1. Si la Commission a constaté, conformément à l'article 34, paragraphe 5, l'absence d'un niveau de protection adéquat, le transfert de données à caractère personnel au pays tiers concerné, ou à l'organisation internationale concernée, n'est pas effectué, pour autant que, dans le cas d'espèce, les intérêts légitimes de la personne concernée à l'absence de transfert l'emportent sur l'intérêt public particulier que présente le transfert.

Par dérogation aux articles 34 et 35, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si:

2. Par dérogation aux articles 34 et 35, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si:

a) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

a) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

b) le transfert est nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque la législation de l'État membre transférant les données à caractère personnel le prévoit; ou

b) le transfert est nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque la législation de l'État membre transférant les données à caractère personnel le prévoit; ou

c) le transfert de données est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers; ou

c) le transfert de données est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers; ou

d) le transfert est nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; ou

d) le transfert est nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; ou

e) le transfert est nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection des infractions pénales, des enquêtes et des poursuites en la matière, ou l'exécution de sanctions pénales;

e) le transfert est nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection des infractions pénales, des enquêtes et des poursuites en la matière, ou l'exécution de sanctions pénales.

 

2 bis. Tout traitement se fondant sur le paragraphe 2 doit avoir une base juridique dans la législation de l'Union ou dans la législation de l'État membre dont est ressortissant le responsable du traitement; cette législation doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi.

 

2 ter. Tous les transferts de données à caractère personnel qui ont été décidés sur la base de dérogations sont dûment justifiés et limités au strict nécessaire, étant entendu que les transferts de données massifs et fréquents ne sont pas autorisés.

 

2 quater. La décision de transfert au titre du paragraphe 2 doit être prise par un personnel dûment habilité. Ces transferts doivent être documentés et la documentation doit être mise à la disposition de l'autorité de contrôle à la demande de celle-ci, et indiquer la date et l'heure du transfert, des informations sur l'autorité destinataire, la justification du transfert et les données transférées.

Amendement  100

Proposition de directive

Article 37

Texte proposé par la Commission

Amendement

Conditions spécifiques applicables au transfert de données à caractère personnel

Conditions spécifiques applicables au transfert de données à caractère personnel

Les États membres prévoient que le responsable du traitement informe le destinataire des données à caractère personnel de toute limitation du traitement et qu'il prend toutes les mesures raisonnables afin de garantir que ces limitations soient respectées.

Les États membres prévoient que le responsable du traitement informe le destinataire des données à caractère personnel de toute limitation du traitement et qu'il prend toutes les mesures raisonnables afin de garantir que ces limitations soient respectées. Le responsable du traitement notifie également au destinataire des données personnelles toute mise à jour, rectification ou effacement des données qui aurait été effectué, à charge pour lui de procéder à la même notification en cas de transfert ultérieur.

 

Amendement  101

Proposition de directive

Article 38 – paragraphe 1 – point a

Texte proposé par la Commission

Amendement

(a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter l'application de la législation relative à la protection des données à caractère personnel;

a) élaborer des mécanismes de coopération internationaux efficaces destinés à garantir l'application de la législation relative à la protection des données à caractère personnel;

Amendement  102

Proposition de directive

Article 38 – paragraphe 1 – point d bis (nouveau)

Texte proposé par la Commission

Amendement

 

d bis) clarifier les conflits juridictionnels avec les pays tiers et se consulter à ce sujet.

Amendement  103

Proposition de directive

Article 38 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 38 bis

 

Rapport de la Commission

 

La Commission présente périodiquement un rapport sur l'application des articles 33 à 38 au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, qui doivent fournir ces informations sans délai injustifié. Le rapport est publié.

 

Amendement  104

Proposition de directive

Article 40 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres veillent à ce que l'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés.

1. Les États membres veillent à ce que l'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés, nonobstant les modalités de coopération au titre du chapitre VII de la présente directive.

 

Amendement  105

Proposition de directive

Article 40 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Chaque État membre prévoit que les membres de l'autorité de contrôle, dans l'accomplissement de leur mission, ne sollicitent ni n'acceptent d'instructions de quiconque.

2. Chaque État membre prévoit que les membres de l'autorité de contrôle, dans l'accomplissement de leur mission, ne sollicitent ni n'acceptent d'instructions de quiconque, et maintiennent une indépendance et une impartialité totales.

Amendement  106

Proposition de directive

Article 43

Texte proposé par la Commission

Amendement

Secret professionnel

Secret professionnel

Les États membres prévoient que membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles.

Les États membres prévoient que membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, et exécutent leurs tâches en toute indépendance et transparence, comme en dispose la présente directive.

Amendement  107

Proposition de directive

Article 44 – paragraphe 1

Texte proposé par la Commission

Amendement

Compétence

Compétence

1. Les États membres prévoient que chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément à la présente directive.

1. Les États membres prévoient que chaque autorité de contrôle est compétente pour exécuter ses tâches et pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément à la présente directive.

Amendement  108

Proposition de directive

Article 45

Texte proposé par la Commission

Amendement

Fonctions

Fonctions

Les États membres prévoient que l'autorité de contrôle:

1. Les États membres prévoient que l'autorité de contrôle:

(a) contrôle et assure l'application des dispositions adoptées conformément à la présente directive et de ses mesures d'exécution;

a) contrôle et assure l'application des dispositions adoptées conformément à la présente directive et de ses mesures d'exécution;

(b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant et dûment mandatée par elle conformément à l'article 50, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment lorsqu'un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

b) reçoit les réclamations introduites par toute personne concernée ou par une association conformément à l'article 50, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment lorsqu'un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

(c) vérifie la licéité du traitement de données en vertu de l'article 14, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification ou des motifs ayant empêché sa réalisation;

c) vérifie la licéité du traitement de données en vertu de l'article 14, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification ou des motifs ayant empêché sa réalisation;

(d) fournit une assistance mutuelle à d'autres autorités de contrôle et veille à la cohérence de l'application des dispositions adoptées conformément à la présente directive et des mesures prises pour en assurer le respect;

d) fournit une assistance mutuelle à d'autres autorités de contrôle et veille à la cohérence de l'application des dispositions adoptées conformément à la présente directive et des mesures prises pour en assurer le respect;

(e) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle a saisi l'autorité de contrôle d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

e) effectue des enquêtes, des inspections et des audits, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle a saisi l'autorité de contrôle d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

(f) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications;

f) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications;

(g) est consultée par les institutions et organes de l'État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;

g) est consultée par les institutions et organes de l'État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;

(h) est consultée sur les traitements conformément à l'article 26;

h) est consultée sur les traitements conformément à l'article 26;

(i) participe aux activités du comité européen de la protection des données..

i) participe aux activités du comité européen de la protection des données..

2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.

2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.

3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant de la présente directive et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.

3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant de la présente directive et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.

4. Pour les réclamations visées au paragraphe 1, point b), l'autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.

4. Pour les réclamations visées au paragraphe 1, point b), l'autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.

5. Les États membres prévoient que l'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.

5. Les États membres prévoient que l'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.

6. Lorsque les demandes sont abusives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou ne pas prendre les mesures sollicitées par la personne concernée. Il incombe à l'autorité de contrôle d'établir le caractère abusif de la demande.

6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables. Ces frais ne dépassent pas les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande.

Amendement  109

Proposition de directive

Article 46

Texte proposé par la Commission

Amendement

Pouvoirs

Pouvoirs

Les États membres prévoient que chaque autorité de contrôle doit notamment être dotée des pouvoirs suivants:

1. Les États membres prévoient que l'autorité de contrôle a le pouvoir:

a) des pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle;

a) d'informer le responsable du traitement ou le sous-traitant d'une allégation de violation des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d'ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée;

b) de pouvoirs effectifs d'intervention, tels que celui de rendre des avis préalablement à la mise en œuvre des traitements et d'assurer une publication appropriée de ces avis, d'ordonner la limitation, l'effacement ou la destruction de données, d'interdire temporairement ou définitivement un traitement, d'adresser un avertissement ou une admonestation au responsable du traitement ou de saisir les parlements nationaux ou d'autres institutions politiques;

b) d'ordonner au responsable du traitement de satisfaire aux demandes, émanant de la personne concernée, d'exercice des droits prévus par la présente directive, y compris ceux visés aux articles 12 à 17 lorsque ces demandes ont été rejetées en violation de ces dispositions;

c) le pouvoir d'ester en justice en cas de violation des dispositions nationales adoptées en application de la présente directive ou le pouvoir de porter cette violation à la connaissance de l'autorité judiciaire.

c) d'ordonner au responsable du traitement ou au sous-traitant de fournir des informations conformément à l'article 10, paragraphes 1 et 2, ainsi qu'aux articles 11, 28 et 29;

 

d) de veiller au respect des avis sur les consultations préalables visées à l'article 26;

 

e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;

 

f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions adoptées en vertu de la présente directive et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

 

g) d'interdire temporairement ou définitivement un traitement;

 

h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

 

i) d'informer les parlements nationaux, le gouvernement ou d'autres institutions publiques ainsi que le public de cette question.

 

2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant:

 

a) l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions de contrôle;

 

b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement des données, conformément à la législation nationale, s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire aux dispositions adoptées en vertu de la présente directive, sans préjudice d'une autorisation judiciaire si la législation nationale l'exige.

 

3. Sans préjudice de l'article 43, les États membres prévoient qu'aucune obligation supplémentaire de secret professionnel n'est invoquée face à la demande des autorités de contrôle.

 

4. Les États membres peuvent prévoir que des contrôles de sécurité supplémentaires conformes au droit national sont requis pour accéder à des informations classées au moins CONFIDENTIEL UE. Si aucun autre contrôle de sécurité n'est requis au titre de la législation de l'État membre de l'autorité de contrôle concernée, ce fait doit être reconnu par tous les autres États membres.

 

5. Chaque autorité de contrôle a le pouvoir d'avertir les autorités judiciaires de toute violation des dispositions adoptées en vertu de la présente directive, d'ester en justice et de saisir la juridiction compétente conformément à l'article 53, paragraphe 2.

 

6. Chaque autorité de contrôle a le pouvoir d'imposer des sanctions par rapport à des infractions administratives.

Amendement  110

Proposition de directive

Article 46 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 46 bis

 

Signalement des violations

 

1. Les États membres prévoient que les autorités de contrôle tiennent compte des orientations fournies par le comité européen de la protection des données conformément à l'article 66, paragraphe 4 ter, du règlement (UE) n° .../2013 et mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des infractions à la présente directive.

 

2. Les États membres prévoient que les autorités compétentes mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des infractions à la présente directive.

Amendement  111

Proposition de directive

Article 47

Texte proposé par la Commission

Amendement

Les États membres prévoient que chaque autorité de contrôle établit un rapport annuel sur son activité. Le rapport est mis à la disposition de la Commission et du comité européen de la protection des données.

Les États membres prévoient que chaque autorité de contrôle établit un rapport sur son activité au moins tous les deux ans. Le rapport est mis à la disposition du public, du parlement concerné, de la Commission et du comité européen de la protection des données. Il contient des informations sur la mesure dans laquelle les autorités compétentes de leur ressort ont eu, à des fins d'enquête et de poursuites concernant des infractions pénales, accès à des données détenues par des tiers privés.

Amendement  112

Proposition de directive

Article 48

Texte proposé par la Commission

Amendement

Assistance mutuelle

Assistance mutuelle

1. Les États membres prévoient que les autorités de contrôle se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer de manière cohérente les dispositions adoptées conformément à la présente directive, et qu'elles mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes de consultation préalable, d'inspection et d'enquête.

1. Les États membres prévoient que les autorités de contrôle se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer de manière cohérente les dispositions adoptées conformément à la présente directive, et qu'elles mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes de consultation préalable, d'inspection et d'enquête.

2. Les États membres prévoient qu'une autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d'une autre autorité de contrôle.

2. Les États membres prévoient qu'une autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d'une autre autorité de contrôle. Il peut s'agir, notamment, de la transmission d'informations utiles ou de mesures répressives visant à faire cesser ou à interdire les traitements contraires à la présente directive sans tarder et au plus tard un mois après réception de la demande.

 

2 bis. La demande d'assistance contient toutes les informations nécessaires, notamment la finalité et les motivations de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

 

2 ter. Une autorité de contrôle saisie d'une demande d'assistance ne peut refuser de lui donner suite, à moins:

 

a) qu'elle ne soit pas compétente pour la traiter; ou

 

b) qu'il soit incompatible avec les dispositions de la présente directive de donner suite à la demande.

3. L'autorité de contrôle requise informe l'autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande de l'autorité de contrôle requérante.

3. L'autorité de contrôle requise informe l'autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande de l'autorité de contrôle requérante.

 

3 bis. Les autorités de contrôle communiquent, par des moyens électroniques et dans les plus brefs délais, au moyen d'un format standard, les informations demandées par d'autres autorités de contrôle.

 

3 ter. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais.

Amendement  113

Proposition de directive

Article 48 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 48 bis

 

Opérations conjointes

 

1. Les États membres font en sorte que pour intensifier la coopération et l'assistance mutuelle, les autorités de contrôle puissent mettre en œuvre des mesures répressives conjointes et d'autres opérations conjointes auxquelles participent des membres ou des agents des autorités de contrôle d'autres États membres, désignés par celles-ci, pour les opérations se déroulant sur le territoire d'un État membre.

 

2. Les États membres font en sorte que dans les cas où des personnes concernées dans un autre ou plusieurs autres États membres sont susceptibles de faire l'objet de traitements, l'autorité de contrôle compétente puisse être invitée à participer aux opérations conjointes. L'autorité de contrôle compétente peut inviter l'autorité de contrôle de chacun de ces États membres à prendre part à l'opération en cause et, dans le cas où elle y est invitée, donner suite sans délai à toute demande d'une autorité de contrôle souhaitant participer aux opérations.

 

3. Les États membres définissent les modalités pratiques des actions de coopération particulières.

Amendement  114

Proposition de directive

Article 49

Texte proposé par la Commission

Amendement

Missions du comité européen de la protection des données

Missions du comité européen de la protection des données

1. Le comité européen de la protection des données institué par le règlement (EU) …./2012 accomplit les missions suivantes en ce qui concerne les activités de traitement relevant du champ d'application de la présente directive:

1. Le comité européen de la protection des données institué par le règlement (EU) …./2013 accomplit les missions suivantes en ce qui concerne les activités de traitement relevant du champ d'application de la présente directive:

(a) conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification de la présente directive;

a) conseiller les institutions de l'Union sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification de la présente directive;

(b) examiner, à la demande de la Commission, de sa propre initiative ou à l'initiative de l'un de ses membres, toute question portant sur l'application des dispositions adoptées conformément à la présente directive, et publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente desdites dispositions;

b) examiner, à la demande de la Commission, du Parlement européen ou du Conseil ou de sa propre initiative ou à l'initiative de l'un de ses membres, toute question portant sur l'application des dispositions adoptées conformément à la présente directive, et publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente desdites dispositions, y compris concernant l'utilisation des pouvoirs d'exécution;

(c) faire le bilan de l'application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et faire régulièrement rapport à la Commission sur ces mesures;

c) faire le bilan de l'application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et faire régulièrement rapport à la Commission sur ces mesures;

(d) communiquer à la Commission un avis sur le niveau de protection assuré dans des pays tiers ou des organisations internationales;

d) communiquer à la Commission un avis sur le niveau de protection assuré dans des pays tiers ou des organisations internationales;

(e) promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle;

e) promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination des opérations conjointes et d'autres activités conjointes lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle;

(f) promouvoir l'élaboration de programmes de formation conjoints et faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

f) promouvoir l'élaboration de programmes de formation conjoints et faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

(g) promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation, notamment sur la législation et les pratiques en matière de protection des données.

g) promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation, notamment sur la législation et les pratiques en matière de protection des données;

 

g bis) donner son avis à la Commission sur l'élaboration d'actes délégués et d'actes d'exécution en vertu de la présente directive.

2. Lorsque la Commission consulte le comité européen de la protection des données, elle peut fixer un délai dans lequel il doit lui fournir les conseils demandés, selon l'urgence de la question.

2. Lorsque le Parlement européen, le Conseil ou la Commission consultent le comité européen de la protection des données, ils peuvent fixer un délai dans lequel il doit leur fournir les conseils demandés, selon l'urgence de la question.

3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 57, et il les publie.

3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 57, et il les publie.

4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité.

4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité.

Amendement  115

Proposition de directive

Article 50 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres prévoient que tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l'égard de la protection de leurs données à caractère personnel et qui est valablement constitué conformément au droit d'un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d'une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu de la présente droits ont été violés à la suite du traitement de données à caractère personnel. L'organisation ou l'association doivent être dûment mandatées par la ou les personne(s) concernée(s).

2. Les États membres prévoient que tout organisme, organisation ou association agissant dans l'intérêt général qui a été valablement constitué conformément au droit d'un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d'une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu de la présente droits ont été violés à la suite du traitement de données à caractère personnel

Amendement  116

Proposition de directive

Article 51

Texte proposé par la Commission

Amendement

Droit à un recours juridictionnel contre une autorité de contrôle

Droit à un recours juridictionnel contre une autorité de contrôle

1. Les États membres prévoient le droit à un recours juridictionnel contre les décisions d'une autorité de contrôle.

1. Les États membres prévoient que toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.

2. Toute personne concernée a le droit de former un recours juridictionnel en vue d'obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l'autorité de contrôle n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 45, paragraphe 1, point b).

2. Les États membres prévoient que toute personne concernée a le droit de former un recours juridictionnel en vue d'obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l'autorité de contrôle n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 45, paragraphe 1, point b).

3. Les États membres prévoient que les actions contre une autorité de contrôle sont intentées devant les juridictions de l'État membre sur le territoire duquel l'autorité de contrôle est établie.

3. Les États membres prévoient que les actions contre une autorité de contrôle sont intentées devant les juridictions de l'État membre sur le territoire duquel l'autorité de contrôle est établie.

 

3 bis. Les États membres veillent à ce que les décisions définitives des juridictions visées au présent article soient exécutées.

Amendement  117

Proposition de directive

Article 52 – alinéa 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Les États membres veillent à ce que les décisions définitives des juridictions visées au présent article soient exécutées.

Amendement  118

Proposition de directive

Article 53 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que tout organisme, organisation ou association visé à l'article 50, paragraphe 2, est habilité à exercer les droits prévus aux articles 51 et 52 au nom d'une ou de plusieurs personnes concernées.

1. Les États membres prévoient que tout organisme, organisation ou association visé à l'article 50, paragraphe 2, est habilité à exercer les droits prévus aux articles 51, 52 et 54 lorsqu'il est mandaté par une ou plusieurs personnes concernées.

Amendement  119

Proposition de directive

Article 53 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions adoptées conformément à la présente directive ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l'Union.

2. Les États membres prévoient que chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions adoptées conformément à la présente directive ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l'Union.

Amendement  120

Proposition de directive

Article 54 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions adoptées conformément à la présente directive a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

1. Les États membres prévoient que toute personne ayant subi un dommage, y compris un dommage non pécuniaire, du fait d'un traitement illicite ou de toute action incompatible avec les dispositions adoptées conformément à la présente directive a le droit d'exiger du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Amendement  121

Proposition de directive

Article 55 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Chapitre VIII bis

 

Transmission de données à caractère personnel à des tiers

 

Article 55 bis

 

Transmission de données à caractère personnel à d'autres autorités ou des tiers privés dans l'Union

 

1. Les États membres veillent à ce que le responsable du traitement ne transmette pas ni ne charge le sous-traitant de transmettre de données à caractère personnel à une personne physique ou morale non soumise aux dispositions adoptées en vertu de la présente directive, à moins:

 

a) que cette transmission soit conforme à la législation de l'Union ou à la législation nationale; et

 

b) que le destinataire soit établi dans un État membre de l'Union européenne; et

 

c) qu'aucun des intérêts spécifiques légitimes de la personne concernée ne s'y oppose; et

 

d) que la transmission, dans le cas donné, soit nécessaire pour le responsable du traitement qui transmet les données à caractère personnel:

 

i) afin qu'il puisse remplir la mission qui lui est légalement confiée; ou

 

ii) pour prévenir un danger grave et immédiat pour la sécurité publique; ou

 

iii) pour prévenir une entrave majeure aux droits des personnes.

 

2. Le responsable du traitement informe le destinataire de la finalité du traitement exclusif dont peuvent faire l'objet les données à caractère personnel.

 

3. Le responsable du traitement informe l'autorité de contrôle de ces transmissions.

 

4. Le responsable du traitement informe le destinataire des limitations de traitement et veille au respect de ces limitations.

Amendement  122

Proposition de directive

Article 56

Texte proposé par la Commission

Amendement

Exercice de la délégation

Exercice de la délégation

1. Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

1. Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2. La délégation de pouvoir visée à l'article 28, paragraphe 5, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur de la présente directive.

2. Le pouvoir d'adopter des actes délégués visé à l'article 25 bis, paragraphe 7, à l'article 28, paragraphe 5, ainsi qu'à l'article 34, paragraphes 3 et 5, est conféré à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur de la présente directive.

3. La délégation de pouvoir visée à l'article 28, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur.

3. La délégation de pouvoir visée à l'article 25 bis, paragraphe 7, à l'article 28, paragraphe 5, ainsi qu'à l'article 34, paragraphes 3 et 5 peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur.

4. Dès qu'elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.

4. Dès qu'elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.

5. Un acte délégué adopté en vertu de l'article 28, paragraphe 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

5. Un acte délégué adopté en vertu de l'article 25 bis, paragraphe 7, de l'article 28, paragraphe 5, ainsi que de l'article 34, paragraphes 3 et 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de six mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de six mois à l'initiative du Parlement européen ou du Conseil.

Amendement  123

Proposition de directive

Article 56 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 56 bis

 

Délai pour l'adoption des actes délégués

 

1. La Commission adopte les actes délégués en vertu de l'article 25 bis, paragraphe 7, et de l'article 28, paragraphe 5, au plus tard le [six mois avant la date visée à l'article 62, paragraphe 1]. La Commission peut prolonger de six mois le délai visé au présent paragraphe.

Justification

Afin d'assurer la bonne mise en œuvre de la directive et d'assurer la sécurité juridique, il est nécessaire que l'acte délégué relatif à la notification des violations des données soit adopté avant la date d'application de la directive.

Amendement  124

Proposition de directive

Article 57 – paragraphe 3

Texte proposé par la Commission

Amendement

3. Lorsqu'il est fait référence au présent paragraphe, l'article 8 du règlement (UE) n° 182/2011 s'applique, en liaison avec son article 5.

supprimé

Amendement  125

Proposition de directive

Article 61

Texte proposé par la Commission

Amendement

Évaluation

Évaluation

1. La Commission évalue l'application de la présente directive.

1. La Commission, après avoir demandé l'avis du comité européen de la protection des données, évalue l'application et la mise en œuvre de la présente directive. Elle assure la coordination en coopération étroite avec les États membres et comprend les visites annoncées et non annoncées. Le Parlement européen et le Conseil sont tenus informés durant tout le processus et ont accès à tous les documents pertinents.

2. Dans un délai de trois ans à compter de l'entrée en vigueur de la présente directive, la Commission réexamine d'autres actes adoptés par l'Union européenne qui régissent le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, notamment les actes adoptés par l'Union qui sont mentionnés à l'article 59, afin d'apprécier la nécessité de les mettre en conformité avec la présente directive et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le cadre de la présente directive.

2. Dans un délai de deux ans à compter de l'entrée en vigueur de la présente directive, la Commission réexamine d'autres actes adoptés par l'Union européenne qui régissent le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, notamment les actes adoptés par l'Union qui sont mentionnés à l'article 59, et présente des propositions appropriées en vue d'assurer la cohérence et l'homogénéité des règles juridiques relatives au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales dans le cadre de la présente directive.

 

2 bis. La Commission présente, dans les deux ans suivant l'entrée en vigueur de la présente directive, des propositions adéquates de révision du cadre juridique applicable au traitement des données à caractère personnel par les institutions, organes, bureaux et agence de l'Union, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, en vue d'assurer la cohérence et l'homogénéité des règles juridiques relatives au droit fondamental à la protection des données à caractère personnel dans l'Union.

3. La Commission présente périodiquement des rapports sur l'évaluation et la révision de la présente directive au Parlement européen et au Conseil, conformément au paragraphe 1. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. Les rapports suivants sont ensuite présentés tous les quatre ans. La Commission soumet, si nécessaire, les propositions ad hoc pour modifier la présente directive et harmoniser d'autres instruments juridiques. Le rapport est publié.

3. La Commission présente périodiquement des rapports sur l'évaluation et la révision de la présente directive au Parlement européen et au Conseil, conformément au paragraphe 1. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. Les rapports suivants sont ensuite présentés tous les quatre ans. La Commission soumet, si nécessaire, les propositions ad hoc pour modifier la présente directive et harmoniser d'autres instruments juridiques. Le rapport est publié.


EXPOSÉ DES MOTIFS

Contexte de la proposition

Le rapporteur estime qu'un cadre efficace de protection des données en Europe peut grandement contribuer à l'établissement d'un bon niveau de protection des données pour chacun des citoyens européens. Le contenu de la proposition de la Commission (2012/0010 (COD)) a été modifié par le rapporteur afin de relever les niveaux de protection et les amener au niveau offert par le règlement proposé et, dans le même temps, de justifier de façon claire les solutions proposées.

La décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en vigueur actuellement, ne constitue pas un cadre global de protection des données pour les services répressifs et les autorités judiciaires en matière pénale, puisqu'elle traite uniquement les situations transfrontières et n'aborde pas la question de l'existence de dispositions parallèles sur la protection des données dans différents instruments de l'Union en matière de répression et de droit pénal.

Le rapporteur est convaincu que la rapide évolution des technologies est à l'origine de nouveaux défis en matière de protection des données à caractère personnel. Le partage et la collecte de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu'aux pouvoirs publics, y compris les services répressifs, d'utiliser les données à caractère personnel comme jamais auparavant. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu'il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l'économie et les rapports sociaux.

Dans un monde globalisé et interconnecté organisé autour de communications en ligne, les données à caractère personnel sont disponibles, stockées, utilisées et évaluées quotidiennement dans des proportions encore jamais atteintes. Au cours des prochaines années, des prochaines décennies, l'Europe devra décider de la manière d'utiliser toutes ces informations, notamment en ce qui concerne les services répressifs ainsi que la prévention et la lutte contre le crime, sans pour autant enfreindre les droits fondamentaux et les normes que nous nous sommes évertués à instaurer. Il s'agit d'une chance unique qui nous est donnée de concevoir deux instruments juridiques équilibrés et de qualité.

Le rapporteur se félicite vivement des efforts consentis par la Commission pour créer un cadre unifié pour la protection des données et harmoniser les différents systèmes existants dans les États membres et il espère qu'à son tour le Conseil s'acquittera pleinement de ses obligations.

Modifications proposées par le rapporteur

Le rapporteur estime que plusieurs aspects précis doivent être davantage clarifiés dans la directive proposée, notamment en ce qui concerne les points suivants.

- La moindre exception au principe doit être dûment justifiée, car la protection des données constitue un droit fondamental. Ce droit doit bénéficier de la même protection dans toutes les circonstances et l'article 52 de la charte qui autorise certaines limitations s'applique pleinement. Ces limitations devraient constituer des exceptions à la règle générale et ne sauraient devenir la règle. Les exceptions globales et généralisées ne sauraient donc être acceptées.

- Il n'existe pas de définition précise des principes de la protection des données, comme des éléments sur la conservation des données, la transparence, la conservation de données actualisées, adéquates, pertinentes et non excessives. En outre, il n'existe pas de disposition exigeant de la part du responsable du traitement de démontrer qu'il se conforme aux principes.

- Le traitement de données à caractère personnel doit être licite, loyal et transparent à l'égard des personnes concernées. Les finalités précises du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. En outre, les données à caractère personnel devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. En outre, avec le système proposé et pour veiller à ce que les données ne soient pas conservées plus longtemps qu'il n'est nécessaire, le responsable du traitement devrait fixer des délais en vue de leur effacement ou d'un examen périodique.

- Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Le fait que des données soient traitées à des fins répressives n'implique pas nécessairement que cette finalité est compatible avec la finalité initiale. La notion de compatibilité d'utilisation doit être interprétée de manière restrictive.

- Il est crucial que la transmission de données à caractère personnel à d'autres autorités ou à des tiers privés dans l'Union soit interdite sauf si la transmission est conforme à la législation et que le destinataire est établi dans un État membre. En outre, aucun intérêt spécifique légitime de la personne concernée ne devrait empêcher la transmission, et la transmission est nécessaire, dans un cas donné, pour le responsable du traitement qui transmet les données à caractère personnel soit pour exécuter une tâche qui lui a été légalement assignée soit pour prévenir un danger grave et immédiat pour la sécurité publique soit enfin pour prévenir une atteinte grave aux droits des personnes. Le responsable du traitement devrait informer le destinataire de la finalité du traitement et l'autorité de contrôle de la transmission, en veillant dans le même temps à informer le destinataire des limitations du traitement et à garantir le respect de ces limitations.

- Il n'existe pas de mécanisme d'évaluation adéquat de la nécessité et de la proportionnalité. Ce point est essentiel pour déterminer si certaines données traitées sont nécessaires et si elles remplissent leur rôle. Ce type d'évaluation permettrait en outre de prévenir l'établissement d'une espèce de société "orwellienne" dans laquelle toutes les données finiraient par être traitées et analysées. La nécessité de collecter des données doit répondre à un objectif, considérant que ce dernier ne peut être atteint par d'autres moyens et que le cœur de la sphère privée de la personne est bien préservé. La proportionnalité est également liée à la question de la réutilisation des données dans un autre but que celui du traitement initial et légitime afin d'empêcher la création généralisée de profils de la population.

Il est souhaitable qu'une analyse d'impact relative à la protection des données soit réalisée par le responsable du traitement ou les sous-traitants, qui devrait porter notamment sur les dispositions, garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et pour démontrer que la présente directive est respectée. Les analyses d'impact devraient porter sur les systèmes et processus concernés d'un traitement de données à caractère personnel et non sur des cas individuels. En outre, lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement sont susceptibles d'exposer les droits et libertés des personnes concernées à un degré élevé de risques particuliers, l'autorité de contrôle devrait être en mesure d'empêcher, avant le début de l'opération, un traitement risqué non conforme à la présente directive, et de formuler des propositions visant à y remédier. Cette consultation peut également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées.

- Il n'existe pas de définition précise du profilage. Toute définition en ce sens doit être conforme à la recommandation CM/Rec (2010) 13 du Conseil de l'Europe. Le profilage à des fins répressives doit être prévu par la loi, qui établit des mesures afin de garantir les intérêts légitimes des personnes concernées, en particulier en leur permettant de présenter leur point de vue. Toute conséquence négative doit être évaluée par une intervention humaine. Dans le même temps, le profilage ne doit pas servir à entretenir des dissensions entre des personnes purement innocentes sans aucun motif personnel légitime - il ne doit pas conduire aux "rafles" (Rasterfahndung) générales.

- Le régime proposé pour le transfert de données à caractère personnel vers des pays tiers n'est pas satisfaisant et n'apporte pas toutes les garanties nécessaires pour assurer la protection des droits des personnes physiques dont les données seront transférées. Ce système offre une protection plus faible que la proposition de règlement. Par exemple, la proposition de la Commission autoriserait le transfert vers l'autorité nationale d'un pays tiers ou vers une organisation internationale qui n'ont pas de compétences répressives. En outre, lorsque le transfert est fondé sur l'évaluation réalisée par le responsable du traitement des données (article 35, article 1, paragraphe b)), la directive pourrait autoriser le transfert massif de données à caractère personnel.

- Il est crucial lorsqu'il n'y a pas de motif d'autoriser le transfert, que des dérogations soient permises si elles sont nécessaires à la sauvegarde des intérêt vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, Ces dérogations, pour des raisons de sécurité publique d'un État membre ou d'un pays tiers, devraient être interprétées de manière restrictive et ne devraient pas permettre un transfert fréquent, massif et structurel de données à caractère personnel ni un transfert massif de données qui devrait être limité aux données strictement nécessaires. De plus, la décision de transfert devrait être prise par une personne dûment autorisée et le transfert doit être documenté et devrait être communiqué à l'autorité de contrôle sur demande à des fins de vérification de la licéité du transfert.

- Les compétences des autorités chargées de la protection des données en matière de surveillance et de garantie du respect des règles de protection des données ne sont pas correctement définies. En comparaison avec le règlement proposé, les compétences de ces autorités sont moins précises. Il ne ressort pas clairement de la proposition que l'autorité chargée de la protection des données ait accès aux locaux du responsable du traitement, comme le prévoit le règlement. Les sanctions et les mesures de répression semblent, elles aussi, moins précises.

- Un nouvel article est introduit concernant les données génétiques. Le traitement de données génétiques ne devrait être autorisé qu'en cas de lien génétique mis au jour dans le cadre d'une enquête criminelle ou d'une procédure judiciaire. Les données génétiques ne devraient être conservées que pendant la durée strictement nécessaire aux fins de telles enquêtes ou procédures, étant entendu que les États membres peuvent prévoir des durées de conservation plus longues selon les conditions énoncées par la présente directive.

- Le rapporteur estime que la directive proposée, à maints égards, ne correspond pas aux exigences d'une protection des données élevée, que la Commission décrit cependant comme "cruciale" (considérant 7) et n'est pas alignée, sur le plan juridique, sur les dispositions du règlement proposé. Il estime également qu'il est de la plus haute importance que les deux instruments juridiques (règlement et directive sur la protection des données) soient considérés comme un ensemble de mesures (package) pour ce qui est du calendrier et de leur éventuelle adoption.

Après une période au cours de laquelle les autorités répressives nationales ont eu à adapter le niveau de protection des données en fonction de la situation à laquelle elles étaient confrontées (situation intérieure ou transfrontière, Prum, Europol, Eurojust), un instrument cohérent et durable peut enfin offrir une sécurité juridique, être dans le même temps compétitif sur le plan international et constituer un modèle pour la protection des données au 21e siècle.


AVIS de la commission des affaires juridiques (26.3.2013)

à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures

sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données

(COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

Rapporteur pour avis: Axel Voss

JUSTIFICATION SUCCINCTE

L'Union souhaite, à juste titre, se doter d'un cadre global, cohérent et moderne en vue de garantir un haut niveau de protection des données, car les enjeux liés à cette question sont nombreux, qu'il s'agisse de la mondialisation, des évolutions technologiques, de l'accroissement des activités en ligne, des utilisations en lien avec des activités criminelles, qui se multiplient, ou des préoccupations relatives à la sécurité.

Dès lors, dans le cadre des dispositions européennes en la matière (article 16 du traité FUE et reconnaissance, à l'article 8 de la charte des droits fondamentaux, du droit à la protection des données à caractère personnel en tant que droit autonome), la sécurité juridique doit être garantie aux citoyens, qui doivent pouvoir avoir confiance dans le comportement des responsables du traitement des données et en particulier des autorités chargées de la répression et de l'exécution des sanctions, car les violations des dispositions relatives à la protection des données peuvent mettre sérieusement en péril les droits fondamentaux et les libertés fondamentales des individus, ainsi que les valeurs des États membres.

En conséquence, le Parlement européen a toujours considéré que le droit fondamental à la protection des données et de la vie privée incluait la protection des personnes face à une éventuelle surveillance et une utilisation abusive des données les concernant par l'État lui-même. La proposition de directive de la Commission "relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données" s'inscrit dans cette logique et le rapporteur pour avis l'accueille dans l'ensemble favorablement.

Dans le domaine de la répression et de l'exécution des sanctions pénales, il y a néanmoins lieu de concilier la protection des données avec d'autres considérations relatives à l'état de droit, qui découlent du monopole de l'usage de la force détenu par l'État. Dans le domaine de la prévention des menaces, de l'instauration et de la garantie de la sécurité générale ainsi que de la répression et de l'exécution des sanctions, la protection des données doit concorder avec les missions de l'État et garantir qu'il puisse continuer à s'en acquitter efficacement, dans l'intérêt de tous les citoyens.

De manière générale, la législation relative à la protection des données au niveau européen est caractérisée par la diversité des niveaux de compétence.

L'ancien premier pilier est marqué par une compétence très forte, dérivant du marché intérieur.

Dans le domaine de l'ancien troisième pilier, c'est la coopération qui prime sur la communautarisation. Dans ce contexte, la décision-cadre 2008/977/JAI est allée aussi loin qu'il était possible dans l'instauration de normes minimales.

Qui plus est, dans le domaine de la coopération policière et judicaire en particulier, les traditions juridiques des États membres de l'Union ont évolué au cours des siècles dans des directions radicalement différentes. Dans ce domaine sensible, la prudence est de mise si l'on veut modifier des structures et traditions nationales bien ancrées et leur substituer progressivement une réglementation européenne. Par ailleurs, en ce qui concerne le champ d'application de l'article 16 du traité FUE, la situation prête toujours à controverse et la jurisprudence n'a pas encore tranché à ce sujet. Il en ressort dont une insécurité juridique à laquelle il convient, selon le rapporteur pour avis, de remédier avec pragmatisme.

La proposition de directive de la Commission intègre l'échange de données au niveau national dans le champ d'application de la directive, alors que l'article 16, paragraphe 2, du traité FUE, limite la compétence de l'Union au champ d'application du droit de l'Union. Le traitement des données au niveau national dans le domaine policier ne peut cependant pas y être inclus (article 87 du traité FUE).

La protection des données se caractérise par son caractère horizontal et les répercussions qu'elle peut avoir dans des domaines qui ne relèvent pas de la compétence exclusive de l'Union, ce en quoi elle peut aussi enfreindre le principe de subsidiarité.

Au vu des considérations qui précèdent, le rapporteur pour avis estime que la directive doit uniquement fixer des normes minimales. La question de la nature "uniquement transfrontalière" ou "aussi nationale" n'est dès lors plus pertinente dans la pratique; il est parfaitement possible de conserver un niveau plus élevé de protection des données.

Pour conserver un équilibre satisfaisant dans la protection des données en tant que droit fondamental, il convient par ailleurs de renforcer les droits des individus et de les définir clairement dans la directive. Les principes de transparence et de contrôle doivent être consacrés, mais ne doivent pas aller à l'encontre de l'objectif de prévention des dangers et d'exécution des sanctions pénales.

Afin de garantir l'équilibre entre la sauvegarde du monopole de l'utilisation de la force, des garanties de la sécurité et de l'ordre publics et de l'intégrité physique individuelle d'une part et le droit à la protection des données d'autre part, le rapporteur pour avis estime que les amendements suivants sont nécessaires:

Chapitre I

- La prévention des dangers est ajoutée au champ d'application (article 1).

- Les États membres sont expressément autorisés à adopter des normes plus élevées (article 1). La directive ne vise pas l'harmonisation, mais la fixation de normes minimales.

- Le champ d'application est étendu aux institutions, organes et organismes de l'Union (article 2).

Chapitre II

- La formulation de la partie centrale relative aux "principes du traitement des données" est calquée sur celle du règlement général sur la protection des données. Le choix de considérer les deux propositions comme un "paquet" exige que ces principes convergent dans les deux textes (article 4).

- L'article 5 est supprimé, car il accroît les formalités administratives et les coûts pour les États membres, sans analyse des effets juridiques.

- La limitation de la finalité du traitement des données est un principe important du droit à la protection des données. Les articles 6 et 7 sont totalement reformulés et étendus en s'inspirant de la décision-cadre 2008/977/JAI (notamment de son article 8 (exactitude), article 3 (finalité) et article 13 (finalité en ce qui concerne les données d'autres États membres de l'Union)).

Chapitre III

Les modifications apportées au chapitre III mettent en avant la nécessité d'être concerné individuellement et la demande individuelle et effective d'informations enregistrées.

- La possibilité de restreindre le droit d'accès (article 12) est limitée aux cas particuliers, après examen, ce qui renforce les droits individuels.

- Le droit à l'information d'office au moment de la collecte des données est restreint, au profit des réglementations des États membres.

- Le droit à l'effacement et à la rectification est reformulé et renforcé. Parallèlement, des exceptions au droit à l'effacement sont toutefois introduites, telles que l'obligation légale de conservation.

Chapitre IV

- L'article 20, intitulé "Responsables conjoints du traitement" est supprimé, car il diminue le niveau de protection des données. En cas de responsabilité conjointe, vis-à-vis de l'extérieur, les deux responsables devraient demeurer conjointement responsables au profit de la personne concernée.

- L'article 23 relatif à la documentation est amélioré, en s'appuyant sur l'article 10 de la décision-cadre 2008/977/JAI. En conséquence, l'article 24, intitulé "Établissement de relevés des opérations de traitement" est supprimé.

-  L'article 27 relatif à la "sécurité des traitements" est aligné sur le libellé de l'article 22 de la décision-cadre.

- Le nouvel article 28 bis introduit la consultation préalable/évaluation des incidences sur la vie privée, reprise de l'article 23 de la décision-cadre 2008/977/JAI.

- La notification d'une violation de données est adressée uniquement à l'autorité de contrôle et non plus à la personne concernée (articles 28 et 29).

Chapitre V

- L'article 35 ter reprend les dispositions de l'article 13 de la décision-cadre et définit des règles spécifiques pour le traitement des données qui proviennent d'autres États membres.

- L'article 36 est reformulé. Dans des cas strictement limités, le transfert de données à des États tiers doit être possible, en dépit d'une décision négative quant au caractère adéquat de la protection des données, dans des conditions extrêmement strictes, pour protéger des intérêts suprêmes, tels que la vie et l'intégrité corporelle.

Chapitre VIII

- Le droit de réclamation des associations est supprimé à l'article 50. Les réclamations doivent être réservées aux personnes individuellement concernées et aux cas particuliers.

Actes délégués et d'exécution

- Il convient de revoir la proposition de la Commission pour que des règles uniformes s'appliquent à l'adoption des actes délégués et d'exécution et pour éviter tout transfert de compétences. Comme pour les amendements prévus à la proposition de règlement général sur la protection des données (COM(2012)0011), les actes délégués sont privilégiés ou la décision est transférée au niveau des États membres.

Responsabilité non contractuelle

La Commission n'est pas à l'abri d'une erreur dans une décision relative au caractère adéquat du niveau de protection des données dans un pays tiers ou une organisation internationale et il peut en résulter un préjudice. Il convient de mentionner cette éventualité dans la directive.

AMENDEMENTS

La commission des affaires juridiques invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:

Amendement  1

Proposition de directive

Considérant 7

Texte proposé par la Commission

Amendement

(7) Il est crucial d'assurer un niveau élevé et homogène de protection des personnes physiques et de faciliter l'échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, devrait être équivalent dans tous les États membres. Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer les droits des personnes concernées et les obligations de ceux qui traitent ces données, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel.

(7) Il est crucial d'assurer un niveau élevé et homogène de protection des personnes physiques et de faciliter l'échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, des normes minimales doivent être garanties dans tous les États membres à l'égard de tout traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

Amendement  2

Proposition de directive

Considérant 15

Texte proposé par la Commission

Amendement

(15) La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application de la présente directive. La présente directive ne devrait s'appliquer ni au traitement de données à caractère personnel s'inscrivant dans le cadre d'activités ne relevant pas du champ d'application du droit de l'Union, notamment celles relatives à la sûreté de l'État, ni à celui effectué par les institutions, organes, et organismes de l'Union, tels qu'Europol ou Eurojust.

(15) La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application de la présente directive. La présente directive ne devrait s'appliquer ni au traitement de données à caractère personnel s'inscrivant dans le cadre d'activités ne relevant pas du champ d'application du droit de l'Union, notamment celles relatives à la sûreté de l'État.

Amendement  3

Proposition de directive

Considérant 16

Texte proposé par la Commission

Amendement

(16) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

(16) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne collaborant avec le responsable du traitement, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable.

Amendement  4

Proposition de directive

Considérant 23

Texte proposé par la Commission

Amendement

(23) Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes. Il importe donc d'établir une distinction aussi claire que possible entre les données à caractère personnel concernant différentes catégories de personnes, telles que les suspects, les personnes reconnues coupables d'une infraction pénale, les victimes et les tiers, tels que les témoins, les personnes détenant des informations ou des contacts utiles, et les complices de personnes soupçonnées ou condamnées.

supprimé

Amendement  5

Proposition de directive

Considérant 24

Texte proposé par la Commission

Amendement

(24) Il conviendrait, dans la mesure du possible, de différencier les données à caractère personnel en fonction de leur degré d'exactitude et de fiabilité. Il y aurait lieu de distinguer les faits des appréciations personnelles, afin de garantir à la fois la protection des personnes physiques et la qualité et la fiabilité des informations traitées par les autorités compétentes.

supprimé

Amendement  6

Proposition de directive

Considérant 43

Texte proposé par la Commission

Amendement

(43) Lors de la fixation des règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités compétentes dans les cas où une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation.

supprimé

Amendement  7

Proposition de directive

Considérant 45

Texte proposé par la Commission

Amendement

(45) Les États membres devraient veiller à ce qu'un transfert vers un pays tiers n'ait lieu que s'il est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, et si le responsable du traitement dans le pays tiers ou dans l'organisation internationale est une autorité compétente au sens de la présente directive. Un transfert peut avoir lieu lorsque la Commission a décidé que le pays tiers ou l'organisation internationale en question garantit un niveau adéquat de protection, ou lorsque des garanties appropriées ont été offertes.

(45) Les États membres devraient veiller à ce qu'un transfert vers un pays tiers n'ait lieu que s'il est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, et si le responsable du traitement dans le pays tiers ou dans l'organisation internationale est une autorité compétente au sens de la présente directive.

Amendement  8

Proposition de directive

Considérant 55

Texte proposé par la Commission

Amendement

(55) Bien que la présente directive s'applique également aux activités des juridictions nationales, la compétence des autorités de contrôle ne devrait pas s'étendre aux traitements de données à caractère personnel effectués par les juridictions dans le cadre de leur fonction juridictionnelle, afin de préserver l'indépendance des juges dans l'exercice de leurs fonctions judiciaires. Il conviendrait toutefois que cette exception soit strictement limitée aux activités purement judiciaires intervenant dans le cadre d'affaires portées devant les tribunaux et qu'elle ne s'applique pas aux autres activités auxquelles les juges pourraient être associés en vertu du droit national.

(55) Bien que la présente directive s'applique également aux activités des juridictions nationales, la compétence des autorités de contrôle ne devrait pas s'étendre aux traitements de données à caractère personnel effectués par les juridictions dans le cadre de leur fonction juridictionnelle, afin de préserver l'indépendance des juges dans l'exercice de leurs fonctions judiciaires.

Amendement  9

Proposition de directive

Considérant 70

Texte proposé par la Commission

Amendement

(70) Étant donné que les objectifs de la présente directive, à savoir protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnelles, et garantir le libre échange de ces dernières par les autorités compétentes au sein de l'Union, ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de l'action, être mieux réalisés au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif,

supprimé

Amendement  10

Proposition de directive

Considérant 73

Texte proposé par la Commission

Amendement

(73) Afin d'assurer une protection exhaustive et cohérente des données à caractère personnel dans l'Union, il conviendrait de modifier les conventions et accords internationaux conclus par les États membres avant l'entrée en vigueur de la présente directive, pour les harmoniser avec cette dernière.

supprimé

Amendement  11

Proposition de directive

Article 1 – paragraphe 1

Texte proposé par la Commission

Amendement

1. La présente directive établit les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales.

1. La présente directive établit les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention des dangers, de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales.

Justification

En matière de défense policière contre des menaces, il est difficile de délimiter les domaines d'application de la directive et du règlement. Si la menace dont il faut se défendre n'est pas légalement punissable et que la police ne peut par conséquent pas prévenir une infraction pénale au sens de l'article 1, paragraphe 1, du projet de directive, la directive reste inapplicable (exemple: fichier de personnes disparues, suicides). Les dispositions du règlement général sur la protection des données sont totalement inadaptées à la prévention des menaces.

Amendement  12

Proposition de directive

Article 1 – paragraphe 2 – partie introductive

Texte proposé par la Commission

Amendement

2. Conformément à la présente directive, les États membres:

2. Les dispositions minimales de la présente directive n'empêchent pas les États membres de maintenir ou d'établir des dispositions relatives à la protection des données à caractère personnel qui garantissent un niveau de protection plus élevé.

Justification

La directive doit avoir pour objectif de créer une norme minimale de protection à l'échelle européenne, et non de remplacer les réglementations nationales existantes. Les États membres doivent dès lors être explicitement autorisés à adopter des mesures plus strictes.

Amendement  13

Proposition de directive

Article 1 – paragraphe 2 – point b

Texte proposé par la Commission

Amendement

(b) veillent à ce que l'échange de données à caractère personnel par les autorités compétentes au sein de l'Union ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

supprimé

Amendement  14

Proposition de directive

Article 2 – paragraphe 3 – point b

Texte proposé par la Commission

Amendement

(b) par les institutions, organes et organismes de l'Union.

supprimé

Justification

La directive devrait également s'appliquer aux institutions et autorités de l'Union.

Amendement  15

Proposition de directive

Article 3 – alinéa 1– point 1

Texte proposé par la Commission

Amendement

(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à des identifiants en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale collaborant avec le responsable du traitement, notamment par référence à un numéro d'identification, à des données de localisation, à des identifiants en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Amendement  16

Proposition de directive

Article 3 – alinéa 1 – point 9 bis (nouveau)

Texte proposé par la Commission

Amendement

 

(9 bis) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

Justification

L'amendement introduit le consentement de la personne concernée de manière strictement limitée. Même s'il ne peut y avoir en principe de pied d'égalité entre le citoyen et l'État, le consentement peut servir dans certains cas de justification, par exemple dans le cas de tests ADN à grande échelle.

Amendement  17

Proposition de directive

Article 3 – alinéa 1 – point 14

Texte proposé par la Commission

Amendement

(14) "autorités compétentes": toutes autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

(14) ) "autorités compétentes": toutes autorités compétentes à des fins de prévention de dangers et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, y compris les institutions, organes et organismes de l'Union européenne;

Amendement  18

Proposition de directive

Article 4 – alinéa 1 – point a

Texte proposé par la Commission

Amendement

(a) traitées loyalement et licitement;

(a) traitées de manière licite, loyale, transparente et vérifiable au regard de la personne concernée;

Amendement  19

Proposition de directive

Article 4 – point c

Texte proposé par la Commission

Amendement

(c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées;

(c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne doivent être traitées que si le traitement anonyme n'est pas suffisant pour l'objectif concerné et pour autant que les finalités du traitement ne puissent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

Amendement  20

Proposition de directive

Article 4 – point e

Texte proposé par la Commission

Amendement

(e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées;

(e) conservées sous une forme permettant l'identification des personnes concernées mais pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées;

Justification

L'amendement vise à aligner le texte de la directive sur celui du règlement sur la protection des données. Puisque ces deux actes doivent être examinés en tant que "paquet", ils doivent appliquer les mêmes principes au traitement des données.

Amendement  21

Proposition de directive

Article 4 – point f)

Texte proposé par la Commission

Amendement

(f) traitées sous la responsabilité du responsable du traitement, qui veille au respect des dispositions adoptées en vertu de la présente directive.

(f) traitées et utilisées uniquement par des personnes compétentes employées par des autorités compétentes, dans l'exercice de leurs activités.

Amendement  22

Proposition de directive

Article 4 – point f)

Texte proposé par la Commission

Amendement

(f) traitées sous la responsabilité du responsable du traitement, qui veille au respect des dispositions adoptées en vertu de la présente directive.

(f) traitées sous la responsabilité du responsable du traitement, qui garantit et démontre le respect des dispositions adoptées en vertu de la présente directive.

Amendement  23

Proposition de directive

Paragraphe 5 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

1 bis. Les États membres peuvent, dans la mesure du possible, arrêter des règles spécifiques concernant une catégorisation des données, y compris les conséquences respectives de cette catégorisation, en tenant compte des différentes finalités de la collecte de données, notamment pour ce qui est des conditions relatives à la collecte des données, des délais pour la conservation, des restrictions possibles aux droits d'accès et d'information de la personne concernée et des modalités d'accès aux données par les autorités compétentes.

Amendement  24

Proposition de directive

Article 6 – titre

Texte proposé par la Commission

Amendement

Niveaux de précision et de fiabilité des données à caractère personnel

Exactitude des données

Amendement  25

Proposition de directive

Article 6 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres veillent à ce qu'une distinction soit établie, dans la mesure du possible, entre les différentes catégories de données à caractère personnel soumises à un traitement, selon leur niveau de précision et de fiabilité.

1. Les autorités compétentes veillent à ce que les données à caractère personnel soient, dans la mesure du possible, exactes, complètes et, si nécessaire, tenues à jour.

Amendement  26

Proposition de directive

Article 6 – paragraphes 2 et 2 bis (nouveau)

Texte proposé par la Commission

Amendement

2. Les États membres veillent à ce que les données à caractère personnel fondées sur des faits soient, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles.

2. Les autorités compétentes veillent à ce que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, les autorités compétentes vérifient, autant que faire se peut, la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données, les informations disponibles sont jointes aux données, afin que l'État membre destinataire puisse juger de l'exactitude, de l'exhaustivité, de l'actualité et de la fiabilité desdites données. Si des données à caractère personnel ont été transmises sans demande préalable, l'autorité destinataire vérifie sans tarder si ces données sont nécessaires à la finalité pour laquelle elles ont été transmises.

 

2 bis. S'il s'avère que des données inexactes ont été transmises ou que des données ont été transmises illicitement, le destinataire en est informé immédiatement. Le destinataire est tenu de rectifier immédiatement les données conformément au paragraphe 1 et à l'article 15 ou de les supprimer conformément à l'article 16.

Justification

Le texte proposé s'inspire de l'article 8 de la décision-cadre 2008/977/JAI et établit l'interdiction de transmettre des données inexactes.

Amendement  27

Proposition de directive

Article 7 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 7 bis

 

Licéité du traitement; finalité limitée

 

1. Le traitement des données à caractère personnel n'est licite que si, et dans la mesure où, il respecte les principes suivants.

 

2. Les données à caractère personnel peuvent être collectées par les autorités compétentes dans le cadre de leurs tâches pour des finalités déterminées, explicites et licites. La collecte de données a une finalité licite si elle est nécessaire:

 

(a) à l'exécution d'une mission par une autorité compétente, en vertu de la législation, pour les finalités énoncées à l'article 1er, paragraphe 1; ou

 

(b) au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou

 

(c) à la sauvegarde des intérêts légitimes de la personne concernée, ou

 

(d) à la sauvegarde des intérêts légitimes d'une autre personne, sauf si l'intérêt légitime de la personne concernée à l'absence de traitement prévaut manifestement;

 

(e) pour prévenir une menace pour la sécurité publique.

 

3. Les données à caractère personnel sont traitées pour les finalités pour lesquelles elles ont été collectées. Le traitement ultérieur des données pour une autre finalité est permis, dans la mesure où:

 

(a) il répond à une finalité licite (paragraphe 2);

 

(b) il est indispensable à cette autre finalité;

 

(c) il n'est pas incompatible avec les finalités pour lesquelles les données ont été collectées.

 

4. Par dérogation au paragraphe 3, les données à caractère personnel peuvent être traitées ultérieurement à des fins historiques, statistiques ou scientifiques, dans la mesure où les États membres prévoient des garanties appropriées, comme le fait de rendre les données anonymes.

Amendement  28

Proposition de directive

Article 7 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 7 ter

 

Dispositions particulières concernant les données à caractère personnel provenant d'autres États membres

 

Les données à caractère personnel qui sont transmises ou mises à disposition par une autorité compétente d'un autre État membre, respectent, outre les principes généraux du traitement des données, les principes suivants:

 

1. Les données à caractère personnel ne peuvent être transmises à des personnes privées que si:

 

(a) l'autorité compétente de l'État membre auprès duquel les données ont été collectées a donné son accord au transfert dans le respect de sa législation nationale;

 

(b) des intérêts spécifiques légitimes de la personne concernée ne s'y opposent pas; et

 

(c) le transfert ultérieur est essentiel dans le cas d'espèce pour l'autorité compétente qui transmet les données à une personne privée:

 

(i) afin qu'elle puisse remplir la mission qui lui est légalement confiée;

 

(ii) la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales;

 

(iii) la prévention d'un danger immédiat et sérieux pour la sécurité publique; ou

 

(iv) pour prévenir une entrave majeure aux droits individuels.

 

L'autorité compétente qui transmet les données à une personne privée communique à cette dernière les finalités auxquelles les données peuvent être exclusivement utilisées.

 

2. Les données à caractère personnel ne peuvent faire l'objet d'un traitement ultérieur pour des finalités autres que celles pour lesquelles elles ont été transmises ou mises à disposition, conformément à l'article 7, paragraphe 3, que si ces finalités sont les suivantes:

 

(a) pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière, ou l'exécution de sanctions pénales, à condition que ces infractions et sanctions soient distinctes de celles pour lesquelles les données ont été transmises ou mises à disposition;

 

(b) pour d'autres procédures judiciaires et administratives directement liées à la prévention et la détection des infractions pénales, aux enquêtes et poursuites en la matière, ou à l'exécution de sanctions pénales;

 

(c) pour prévenir un danger immédiat et sérieux pour la sécurité publique; ou

 

(d) pour toute autre finalité, uniquement avec l'accord préalable de l'État membre auprès duquel les données ont été collectées ou avec le consentement de la personne concernée, qui les a fournies en conformité avec la législation nationale.

 

Il n'est pas porté préjudice aux dispositions de l'article 7, paragraphe 4.

 

3. Si la législation nationale de l'État membre qui transmet les données prévoit, dans des circonstances déterminées, des restrictions particulières dans l'échange de données entre autorités compétentes de cet État membre, l'autorité qui transmet les données informe le destinataire de l'existence de ces restrictions particulières. Le destinataire veille à ce que ces restrictions de traitement soient respectées.

Justification

Le remaniement de cet article vise à reprendre les dispositions de l'article 13 de la décision-cadre 2008/977/JAI sur le traitement des données provenant d'autres États membres, qu'il protège tout particulièrement. L'article 7 bis vise également à protéger l'État membre d'où proviennent les données et instaure ainsi la certitude, nécessaire au partage de données au sein de l'Union, que l'État destinataire ne pourra soumettre à loisir les données transmises à un traitement ultérieur.

Amendement  29

Proposition de directive

Article 7 quater (nouveau)

Texte proposé par la Commission

Amendement

 

Article 7 quater

 

Fixation de délais d'effacement et de vérification

 

Des délais appropriés sont prévus pour effacer les données à caractère personnel ou vérifier régulièrement s'il est nécessaire de conserver les données. Des règles procédurales permettent d'assurer le respect de ces délais.

Justification

Cet ajout reprend, mot pour mot, le texte de l'article 5 de la décision-cadre 2008/977/JAI.

Amendement  30

Proposition de directive

Article 8

Texte proposé par la Commission

Amendement

1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou la vie sexuelle.

Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé ou à la vie sexuelle sont uniquement autorisés si

2. Le paragraphe 1 ne s'applique pas lorsque:

 

(a) le traitement est autorisé par une législation prévoyant des garanties appropriées;

(a) le traitement est absolument nécessaire et est autorisé par une législation prévoyant des garanties appropriées; ou

(b) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;

(b) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;

(c) le traitement porte sur des données manifestement rendues publiques par la personne concernée.

(c) le traitement porte sur des données manifestement rendues publiques par la personne concernée.

Justification

L'article a été modifié en s'inspirant de l'article 6 de la décision-cadre 2008/977/JAI. Même s'il s'éloigne du principe d'interdiction contenu dans la proposition de directive, l'autorisation du traitement des données sensibles reste soumise à des conditions strictes. Au vu de l'importance des preuves ADN, l'interdiction fondamentale de traiter des données génétiques introduite dans la proposition de directive est supprimée.

Amendement  31

Proposition de directive

Article 9 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que les mesures produisant des effets juridiques défavorables pour la personne concernée ou l'affectant de manière significative et qui sont prises sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à cette personne sont interdites, à moins d'être autorisées par une loi qui prévoit également des mesures destinées à préserver les intérêts légitimes de la personne concernée.

1. Les mesures produisant des effets juridiques défavorables pour la personne concernée ou l'affectant de manière significative et qui sont prises sur le seul fondement d'un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à cette personne sont autorisées uniquement si elles sont autorisées par une loi qui prévoit également des mesures destinées à préserver les intérêts légitimes de la personne concernée.

Justification

Cet article, tel que remanié, revient à la formulation de la décision-cadre 2008/977/JAI. Le profilage reste soumis à des conditions strictes, même si on s'écarte du principe d'interdiction.

Amendement  32

Proposition de directive

Article 9 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à la personne concernée ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 8.

supprimé

Justification

Le paragraphe 2 permettrait un profilage particulièrement étendu et pourrait facilement être contourné.

Amendement  33

Proposition de directive

Article 10 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que le responsable du traitement prend toutes les mesures raisonnables afin d'appliquer des règles internes transparentes et facilement accessibles en ce qui concerne le traitement des données à caractère personnel, et en vue de l'exercice de leurs droits par les personnes concernées.

1. Les États membres prévoient que le responsable du traitement prend des mesures appropriées et raisonnables afin d'appliquer des règles internes transparentes et facilement accessibles en ce qui concerne le traitement des données à caractère personnel, et en vue de l'exercice de leurs droits par les personnes concernées.

Amendement  34

Proposition de directive

Article 10 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres prévoient que le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples.

2. Les États membres prévoient que le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes si possible clairs et simples.

Amendement  35

Proposition de directive

Article 10 – paragraphe 4

Texte proposé par la Commission

Amendement

4. Les États membres prévoient que le responsable du traitement informe, sans retard injustifié, la personne concernée des suites données sa demande.

supprimé

Amendement  36

Proposition de directive

Article 12 – paragraphe 1 – point a (nouveau)

Texte proposé par la Commission

Amendement

 

(a) toutes les données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données;

Amendement  37

Proposition de directive

Article 12 – paragraphe 1 – point g

Texte proposé par la Commission

Amendement

(g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données.

supprimé

Justification

Ce point se rapporte au principal droit d'accès de la personne concernée et devrait donc être placé au début de la liste.

Amendement  38

Proposition de directive

Article 13 – paragraphe 1 – partie introductive

Texte proposé par la Commission

Amendement

1. Les États membres peuvent adopter des mesures législatives limitant, entièrement ou partiellement, le droit d'accès de la personne concernée, dès lors qu'une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des intérêts légitimes de la personne concernée:

1. Les États membres peuvent adopter des mesures législatives limitant, dans le cas d'espèce, entièrement ou partiellement, le droit d'accès de la personne concernée, dès lors qu'une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, et pour le temps pendant lequel cette condition est remplie, compte étant dûment tenu des intérêts légitimes de la personne concernée:

Amendement  39

Proposition de directive

Article 13 – paragraphe 1 – point b

Texte proposé par la Commission

Amendement

(b) pour éviter de nuire à la prévention, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

(b) pour éviter de nuire à la prévention de menaces, à la détection, à la recherche et à la poursuite d'infractions pénales, ou pour exécuter des sanctions pénales;

Amendement  40

Proposition de directive

Article 13 – paragraphe 1 – point e

Texte proposé par la Commission

Amendement

(e) pour protéger les droits et libertés d'autrui.

(e) pour protéger les personnes concernées ou les droits et libertés d'autrui.

Amendement  41

Proposition de directive

Article 13 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres peuvent, par voie législative, déterminer des catégories de traitement de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au paragraphe 1.

supprimé

Justification

Le refus d'accès doit toujours dépendre du cas d'espèce.

Amendement  42

Proposition de directive

Article 14 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient le droit pour la personne concernée de demander que l'autorité de contrôle, notamment dans les cas mentionnés à l'article 13, vérifie la licéité du traitement.

1. Les États membres prévoient le droit pour la personne concernée, dans les limites des articles 12 et 13, de demander que l'autorité de contrôle vérifie la licéité du traitement.

Amendement  43

Proposition de directive

Article 14 – paragraphe 2

Texte proposé par la Commission

Amendement

2. L'État membre prévoit que le responsable du traitement informe la personne concernée de son droit de demander l'intervention de l'autorité de contrôle en vertu du paragraphe 1.

2. L'État membre prévoit que le responsable du traitement informe la personne concernée, à sa demande, de son droit de demander l'intervention de l'autorité de contrôle en vertu du paragraphe 1.

Amendement  44

Proposition de directive

Article 14 – paragraphe 3 – alinéa 1

Texte proposé par la Commission

Amendement

 

Les États membres établissent si la personne concernée peut faire valoir ces droits directement à l'égard du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle compétente.

Justification

Le système instauré prévoit que les demandes d'accès des personnes concernées sont indirectes, en reprenant la formulation de la décision-cadre de 2008.

Amendement  45

Proposition de directive

Article 15 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d'obtenir, notamment au moyen d'une déclaration rectificative, que les données à caractère personnel incomplètes soient complétées.

1. Les États membres prévoient le droit pour la personne concernée d'obtenir la rectification des données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d'obtenir, notamment au moyen d'une déclaration rectificative, que les données à caractère personnel incomplètes soient complétées.

Amendement  46

Proposition de directive

Article 15 – paragraphe 2 et paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

2. Les États membres prévoient qu'en cas de refus de rectification des données, le responsable du traitement informe la personne concernée, par écrit, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

2. Les États membres établissent si la personne concernée peut faire valoir ces droits directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle compétente.

 

2 bis. Si la personne concernée fait valoir ses droits directement à l'encontre du responsable du traitement, celui-ci, s'il refuse de rectifier ou de compléter les données, informe la personne concernée, par écrit, du refus de rectification, des motifs de ce refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

Justification

Les États membres devraient fixer les modalités en la matière.

Amendement  47

Proposition de directive

Article 16 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsque le traitement n'est pas conforme aux dispositions adoptées conformément à l'article 4, points a) à e), à l'article 7 et à l'article 8 de la présente directive.

1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsque le traitement n'est pas conforme aux dispositions adoptées conformément à l'article 4, à l'article 6, à l'article 7 et à l'article 8 de la présente directive.

Justification

Cet amendement élargit le champ d'application et renforce les droits individuels.

Amendement  48

Proposition de directive

Article 16 – paragraphe 2 et paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

2. Le responsable du traitement procède à l'effacement sans délai.

2. Les États membres établissent si la personne concernée peut faire valoir ces droits directement à l'égard du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle compétente.

 

2 bis. Si la personne concernée fait valoir ses droits directement à l'encontre du responsable du traitement, celui-ci, s'il refuse de rectifier ou de compléter les données, informe la personne concernée, par écrit, du refus de rectification, des motifs de ce refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

Amendement  49

Proposition de directive

Article 16 – paragraphe 3 – partie introductive

Texte proposé par la Commission

Amendement

3. Au lieu de procéder à l'effacement, le responsable du traitement marque les données à caractère personnel:

3. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel:

Amendement  50

Proposition de directive

Article 16 – paragraphe 3 – point c

Texte proposé par la Commission

Amendement

(c) lorsque la personne concernée s'oppose à leur effacement et exige, à la place de cela, la limitation de leur utilisation.

(c) lorsque l'effacement des données porterait atteinte aux intérêts légitimes de la personne concernée ou lorsque la personne concernée s'oppose à leur effacement et exige, à la place de cela, la limitation de leur utilisation.

Amendement  51

Proposition de directive

Article 16 – paragraphe 3 – points c bis à c quater (nouveaux)

Texte proposé par la Commission

Amendement

 

(c bis) lorsque des obligations légales de documentation ou de conservation s'opposent à l'effacement; dans ce cas, il y a lieu de traiter les données conformément aux obligations légales de documentation ou de conservation;

 

(c ter) lorsque les données ne sont stockées qu'à des fins de sécurisation des données ou de contrôle de la protection des données;

 

(c quater) lorsque l'effacement des données nécessiterait, sur le plan technique, un investissement disproportionné, par exemple en raison de la nature particulière du stockage.

Amendement  52

Proposition de directive

Article 16 – paragraphe 3 bis (nouveau)

Texte proposé par la Commission

Amendement

 

3 bis. Les données dont le traitement a été restreint ne peuvent être utilisées que dans le but pour lequel il n'a pas été procédé à l'effacement. Elles peuvent également être utilisées si elles sont indispensables pour s'acquitter de la charge d'une preuve.

Justification

Précision des conséquences juridiques d'un verrouillage.

Amendement  53

Proposition de directive

Article 16 – paragraphe 4

Texte proposé par la Commission

Amendement

4. Les États membres prévoient que le responsable du traitement informe la personne concernée, par écrit, de tout refus d'effacer ou de marquer les données traitées, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4. Les États membres prévoient que le responsable du traitement informe la personne concernée, par écrit, de tout refus d'effacer les données ou de restreindre leur traitement, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

Amendement  54

Proposition de directive

Article 17 – alinéa 1

Texte proposé par la Commission

Amendement

Les États membres peuvent prévoir que, lorsque les données à caractère personnel figurent dans une décision judiciaire ou un casier judiciaire faisant l'objet d'un traitement lors d'une enquête judiciaire ou d'une procédure pénale, les droits d'information, d'accès, de rectification, d'effacement et de limitation du traitement prévus aux articles 11 à 16 sont exercés conformément aux règles nationales de procédure pénale.

Les États membres peuvent prévoir que, lorsque les données à caractère personnel figurent dans une décision judiciaire ou dans un casier judiciaire lié à l'adoption d'une décision judiciaire, l'information, l'accès, la rectification, l'effacement ou la limitation du traitement prévus aux articles 11 à 16 sont effectués conformément aux règles de procédure nationales.

Justification

Cet article devrait être élargi à toutes les juridictions et ne pas s'appliquer uniquement aux procédures pénales.

Amendement  55

Proposition de directive

Article 18 – paragraphe 3

Texte proposé par la Commission

Amendement

3. Le responsable du traitement met en œuvre des mécanismes pour vérifier l'efficacité des mesures visées au paragraphe 1 du présent article. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification.

supprimé

Justification

L'article 18, paragraphe 3, a été purement et simplement supprimé, car il risquait de créer une situation chaotique. Le délégué à la protection des données et l'autorité de contrôle devraient suffire pour assurer la protection des données, tant il est vrai que l'intervention d'auditeurs internes ou externes, loin d'être utile, serait plutôt une source de confusion.

Amendement  56

Proposition de directive

Article 21 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que le responsable du traitement, lorsque une opération de traitement est effectué pour son compte, doit choisir un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux dispositions adoptées conformément à la présente directive et garantisse la protection des droits de la personne concernée.

1. Les États membres font en sorte que le responsable du traitement, lorsqu'une opération de traitement est effectuée pour son compte, doive choisir un sous-traitant qui présente des garanties suffisantes

 

(a) que les mesures techniques et organisationnelles de l'article 27, paragraphe 1, sont mises en œuvre;

 

(b) de traitement conforme, par ailleurs également, aux dispositions adoptées conformément à la présente directive et garantissant la protection des droits de la personne concernée; et

 

(c) que les instructions du responsable du traitement sont respectées.

Justification

La réécriture de cet article s'appuie sur la décision-cadre 2008/977/JAI, dont il n'y a aucune raison de se s'écarter. Une partie du premier paragraphe du texte de la Commission est devenue points a) et b) dans l'amendement du Parlement.

Amendement  57

Proposition de directive

Article 21 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Les États membres prévoient que la réalisation de traitements en sous-traitance doit être régie par un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit.

2. La réalisation de traitements en sous-traitance est régie par un acte juridique ou par un contrat écrit qui prévoit que le sous-traitant n'agit que sur instruction du responsable du traitement.

Justification

La réécriture de cet article s'appuie sur la décision-cadre 2008/977/JAI , dont il n'y a aucune raison de se s'écarter.

Amendement  58

Proposition de directive

Article 23 – paragraphe 1 et paragraphes 1 bis et 1 ter (nouveaux)

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que chaque responsable du traitement et chaque sous-traitant conservent une trace documentaire de tous les systèmes et procédures de traitement sous leur responsabilité.

1. Toutes les autorités compétentes conservent une trace documentaire précise de tous les systèmes et procédures de traitement sous leur responsabilité.

 

1 bis. Les transmissions de données à caractère personnel sont journalisées ou font l'objet d'une trace documentaire à des fins de vérification de la licéité du traitement des données, d'autocontrôle et de garantie de l'intégrité et de la sécurité des données.

 

1 ter. Les journaux ou la documentation sont mis à la disposition de l'autorité de contrôle, à sa demande. L'autorité de contrôle n'utilise ces informations que pour contrôler la licéité du traitement des données ainsi que pour garantir leur intégrité et leur sécurité.

Justification

Alignement sur l'article 10 de la décision-cadre 2008/977/JAI. Cet amendement supprime les responsabilités au niveau national et mentionne uniquement les transmissions transfrontalières, ce qui court-circuite l'objectif de la directive et l'éloigne encore davantage du règlement et de l'ensemble du "paquet harmonisé". L'amendement précédent garantit au moins dans une certaine mesure l'existence de dispositions concernant le niveau national, mais il serait souhaitable de rétablir l'original par souci d'harmonisation avec le règlement.

Amendement  59

Proposition de directive

Article 27 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

1. Les États membres prévoient que le responsable du traitement prend des mesures techniques et organisationnelles pour protéger les données à caractère personnel contre:

 

(a) la destruction accidentelle ou illicite;

 

(b) la perte accidentelle;

 

(c) l'altération non autorisée;

 

(d) la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données par l'intermédiaire d'un réseau ou des mises à disposition par l'octroi d'un accès direct automatisé; et

 

(e) toute autre forme de traitement illicite.

 

Les mesures doivent assurer, compte tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Justification

Le nouveau libellé de cet article est repris de l'article 22, paragraphe 1, de la décision-cadre.

Amendement  60

Proposition de directive

Article 27 – paragraphe 2 – partie introductive

Texte proposé par la Commission

Amendement

2. En ce qui concerne le traitement automatisé de données, chaque État membre prévoit que le responsable du traitement ou le sous-traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:

2. En ce qui concerne le traitement automatisé de données, chaque État membre prend des mesures qui sont de nature à:

Amendement  61

Proposition de directive

Article 27 – paragraphe 2 – point j

Texte proposé par la Commission

Amendement

(j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).

(Ne concerne pas la version française.)

Justification

(Ne concerne pas la version française.)

Amendement  62

Proposition de directive

Article 27 – paragraphe 3

Texte proposé par la Commission

Amendement

3. La Commission peut adopter, si nécessaire, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, et notamment les normes de cryptage. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

3. Les États membres peuvent adopter, si nécessaire, des dispositions afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, et notamment les normes de cryptage.

Amendement  63

Proposition de directive

Article 28 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard indu et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsque la notification a lieu après ce délai, le responsable du traitement fournit une justification à l'autorité de contrôle, sur demande.

1. Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard indu après en avoir pris connaissance. Pour les violations les plus graves, les États membres prévoient que le responsable du traitement notifie la violation à l'autorité de contrôle 24 heures au plus tard après en avoir pris connaissance.

Justification

Sur le plan administratif, il est excessif de demander aux responsables du traitement de notifier toutes les violations dans un délai de 24 heures après en avoir pris connaissance et de fournir une justification.

Amendement  64

Proposition de directive

Article 28 – paragraphe 5

Texte proposé par la Commission

Amendement

5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 56, aux fins de préciser davantage les critères et exigences applicables à l'établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

supprimé

Justification

Les critères et exigences applicables à l'établissement de la violation de données sont déjà suffisamment précisés au paragraphe 1. En tous les cas, la délégation de pouvoirs législatifs proposée toucherait à des éléments essentiels qui ne peuvent être délégués et qu'il faut préciser dans l'acte de base. Un changement correspondant est également proposé dans le règlement général sur la protection des données.

Amendement  65

Proposition de directive

Article 28 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 28 bis

 

Consultation préalable

 

Les États membres veillent à ce que les autorités de contrôle nationales compétentes soient consultées avant le traitement de données à caractère personnel qui feront partie d'un nouveau fichier à créer si:

 

(a) le traitement concerne certaines catégories de données visées à l'article 8, ou

 

(b) le type de traitement présente, notamment en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, des risques spécifiques pour les droits et libertés fondamentaux, notamment pour la protection de la vie privée des personnes concernées.

Justification

Reprend le texte de l'article 13 de la décision-cadre 2008/977/JI.

Amendement  66

Proposition de directive

Article 31 – paragraphe 2 bis (nouveau)

Texte proposé par la Commission

Amendement

 

2 bis. Le délégué à la protection des données ne peut subir de préjudice du fait de l'exécution de ses tâches. Le licenciement du délégué à la protection des données n'est pas autorisé pendant son activité et pendant l'année consécutive à la fin de cette activité, à moins qu'il n'existe des faits qui autorisent le responsable du traitement à procéder au licenciement pour motif grave.

Amendement  67

Proposition de directive

Article 33 – point a

Texte proposé par la Commission

Amendement

(a) le transfert est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; et

(a) le transfert est nécessaire à des fins de prévention de risques et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; et

Amendement  68

Proposition de directive

Paragraphe 33 – point b

Texte proposé par la Commission

Amendement

(b) les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant.

(b) les conditions énoncées dans le présent chapitre sont respectées.

Amendement  69

Proposition de directive

Article 34 – paragraphe 2 – partie introductive

Texte proposé par la Commission

Amendement

2. Lorsqu'il n'existe aucune décision adoptée en vertu de l'article 41 du règlement (UE) …./2012, la Commission apprécie le caractère adéquat du niveau de protection en prenant en considération les éléments suivants:

2. Lorsqu'il n'existe aucune décision adoptée en vertu de l'article 41 du règlement (UE) …./2012, la Commission apprécie le caractère adéquat du niveau de protection en prenant en considération l'ensemble des circonstances qui, d'une manière générale, entourent les transferts de données ou catégories de transferts de données et peuvent être jugées indépendamment des processus de transfert concrets. L'appréciation a lieu compte tenu, en particulier, des facteurs suivants:

Amendement  70

Proposition de directive

Article 34 – paragraphe 3

Texte proposé par la Commission

Amendement

3. La Commission peut constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

3. La Commission est habilitée à adopter des actes délégués conformément à l'article 56 pour compléter la liste, figurant à l'annexe [x], des pays tiers, des territoires ou secteurs de traitement dans des pays tiers, ou des organisations internationales qui assurent un niveau de protection adéquat au sens du paragraphe 2. Lorsqu'elle détermine le niveau de protection, la Commission examine si la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale garantit un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles dont les données à caractère personnel sont transférées.

Justification

Vu leur grande portée, les constatations en question vont au-delà de ce qui est requis pour des conditions uniformes d'exécution et ces éléments non essentiels doivent donc être soumis à une délégation de pouvoir législatif conformément à l'article 290 du traité FUE. Un changement correspondant est également proposé dans le règlement général sur la protection des données.

Amendement  71

Proposition de directive

Article 34 – paragraphe 4

Texte proposé par la Commission

Amendement

4. L'acte d'exécution précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

4. Selon l'article 340, paragraphe 2, du traité sur le fonctionnement de l'Union européenne et la jurisprudence constante de la Cour de justice, l'Union doit réparer, conformément aux principes généraux communs aux droits des États membres, les dommages causés par ses institutions dans l'exercice de leurs fonctions, y compris tout dommage dû à une utilisation abusive de données à caractère personnel à la suite d'une détermination incorrecte du niveau de protection au titre des paragraphes 2 et 3.

Justification

La responsabilité non contractuelle de l'Union en cas de détermination incorrecte du niveau de protection sur la base des critères visés aux paragraphes 2 et 3 devrait également être explicite.

Amendement  72

Proposition de directive

Article 34 – paragraphe 5

Texte proposé par la Commission

Amendement

5. La Commission peut constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2, ou, en cas d'extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 57, paragraphe 3.

supprimé

Amendement  73

Proposition de directive

Article 34 – paragraphe 6

Texte proposé par la Commission

Amendement

6. Les États membres veillent à ce que, lorsque la Commission adopte une décision en vertu du paragraphe 5, selon laquelle tout transfert de données à caractère personnel vers le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, cette décision soit sans préjudice des transferts effectués au titre de l'article 35, paragraphe 1, ou conformément à l'article 36. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.

supprimé

Amendement  74

Proposition de directive

Article 34 – paragraphe 8

Texte proposé par la Commission

Amendement

8. La Commission contrôle l'application des actes d'exécution visés aux paragraphes 3 et 5.

supprimé

Amendement  75

Proposition de directive

Article 35

Texte proposé par la Commission

Amendement

Article 35

supprimé

Transferts moyennant des garanties appropriées

 

1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 34, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu que si:

 

(a) des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant; ou

 

(b) le responsable du traitement ou le sous-traitant a évalué toutes les circonstances entourant le transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.

 

2. La décision de transfert au titre du paragraphe 1, point b), doit être prise par un personnel dûment habilité. Tout transfert de ce type doit faire l'objet d'une documentation, qui doit être mise à la disposition de l'autorité de contrôle, sur demande.

 

Amendement  76

Proposition de directive

Article 35 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 35 bis

 

Transferts moyennant des garanties appropriées

 

1. Lorsque la Commission n'a pas adopté de décision en vertu de l'article 34, un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu que si:

 

(a) des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant;

 

(b) le responsable du traitement ou le sous-traitant a évalué toutes les circonstances entourant de manière générale le transfert de données à caractère personnel (article 43, paragraphe 2) et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel; ou

 

(c) le transfert des données à caractère personnel serait autorisé dans le cas d'espèce, même après la constatation, par la Commission, de l'absence d'un niveau de protection adéquat (article 36).

Amendement  77

Proposition de directive

Article 35 ter (nouveau)

Texte proposé par la Commission

Amendement

 

Article 35 ter

 

Transfert de données à caractère personnel provenant d'autres États membres

 

1. Les États membres prévoient qu'un transfert, par une autorité compétente, de données à caractère personnel transmises ou mises à disposition par l'autorité compétente d'un autre État membre, y compris leur transfert ultérieur à un pays tiers ou à une organisation internationale, n'est autorisé que si:

 

(a) le destinataire du pays tiers ou l'instance internationale destinataire est chargé de la prévention des risques, de la détection des infractions pénales, des enquêtes et des poursuites portant sur des infractions pénales ou de l'exécution des sanctions pénales;

 

(b) l'État membre auprès duquel les données ont été collectées a donné son accord au transfert dans le respect de sa législation nationale, et

 

(c) dans les cas visés à l'article 34 bis, paragraphe 3, et à l'article 35, points b) et c), l'État membre auprès duquel les données ont été collectées estime lui aussi, conformément à son droit interne, que les garanties de protection des données transférées sont appropriées.

 

2. Le transfert ultérieur sans accord préalable conformément au paragraphe 1, point b), n'est autorisé que si le transfert des données est essentiel pour prévenir un danger immédiat et sérieux pour la sécurité publique d'un État membre ou d'un État tiers ou pour les intérêts essentiels d'un État membre et que l'accord préalable ne peut pas être obtenu en temps utile. L'autorité compétente pour donner cet accord est informée sans délai.

 

3. Par dérogation au paragraphe 1, point c), les données à caractère personnel ne peuvent être transférées que si la législation nationale de l'État membre qui transfère les données le prévoit

 

(a) pour des intérêts spécifiques légitimes de la personne concernée, ou

 

(b) lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants.

 

4. La transmission à des personnes privées n'est autorisée qu'aux conditions visées au paragraphe 1 des articles 7 bis et 7 ter.

Justification

L'article 35 ter répond à l'article 13 de la décision-cadre en prévoyant des dispositions spécifiques relatives au traitement des données qui proviennent d'autres États membres et en protégeant ces données d'une manière particulière. Cet article sert également à protéger les États membres d'où viennent les données et crée ainsi la confiance nécessaire pour un échange de données à l'intérieur de l'Union: les données transmises ne seront pas transférées selon le bon vouloir de l'État qui les a reçues.

Amendement  78

Proposition de directive

Article 36

Texte proposé par la Commission

Amendement

Article 36

supprimé

Dérogations

 

Par dérogation aux articles 34 et 35, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si:

 

(a) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne;

 

(b) le transfert est nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque la législation de l'État membre transférant les données à caractère personnel le prévoit; ou

 

(c) le transfert de données est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers; ou

 

(d) le transfert est nécessaire dans des cas particuliers à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales; ou

 

(e) le transfert est nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection des infractions pénales, des enquêtes et des poursuites en la matière, ou l'exécution de sanctions pénales;

 

Amendement  79

Proposition de directive

Article 36 bis (nouveau)

Texte proposé par la Commission

Amendement

 

Article 36 bis

 

Exceptions en cas de transfert de données après mise en balance des intérêts dans le cas d'espèce

 

1. Si la Commission a constaté, conformément à l'article 34, paragraphe 5, l'absence d'un niveau de protection adéquat, le transfert de données à caractère personnel au pays tiers concerné, ou à un territoire ou secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale concernée, n'est pas effectué, pour autant que, dans le cas d'espèce, les intérêts légitimes de la personne concernée à l'absence de transfert l'emportent sur l'intérêt public particulier que présente le transfert.

 

2. La mise en balance des intérêts au titre du paragraphe 1 tient également compte du caractère adéquat du niveau de protection dans le cas d'espèce. L'appréciation de la présence ou non d'un niveau de protection adéquat dans le cas d'espèce a lieu en tenant compte de toutes les circonstances entourant le transfert de données envisagé, notamment:

 

(a) la nature des données devant être transférées,

 

(b) la finalité, et

 

(c) la durée du traitement prévu dans l'État tiers.

 

3. Par dérogation au paragraphe 1 et à l'article 35, les États membres peuvent prévoir qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si le transfert:

 

(a) est nécessaire à la sauvegarde des intérêts particulièrement légitimes de la personne concernée ou d'une autre personne, dès lors qu'il est question, en particulier, de la vie et de l'intégrité corporelle;

 

(b) le transfert est nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque la législation de l'État membre transférant les données à caractère personnel le prévoit; ou

 

(c) est nécessaire à des fins de prévention, de détection des infractions pénales, d'enquêtes et de poursuites portant sur des infractions pénales, ou d'exécution des sanctions pénales; ou

 

(d) le transfert est nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection des infractions pénales, des enquêtes et des poursuites en la matière, ou l'exécution de sanctions pénales;

 

4. En particulier, le niveau de protection peut également revêtir un caractère adéquat, dans le cas d'espèce, lorsque le pays tiers concerné, un territoire, un secteur de traitement ou une instance internationale ou supranationale dans ce pays tiers, ou l'organisation internationale concernée, garantit, en l'espèce, une protection adéquate des données transférées.

Justification

La reformulation de l'article 36 est la suite logique des articles 34 et 35. Dans des cas strictement limités, le transfert de données vers des États tiers doit être possible, en dépit d'une décision négative quant au caractère adéquat de la protection des données, dans des conditions extrêmement strictes, pour protéger des intérêts suprêmes, tels que la vie et l'intégrité corporelle.

Amendement  80

Proposition de directive

Article 37

Texte proposé par la Commission

Amendement

Les États membres prévoient que le responsable du traitement informe le destinataire des données à caractère personnel de toute limitation du traitement et qu'il prend toutes les mesures raisonnables afin de garantir que ces limitations soient respectées.

Les États membres prévoient que le responsable du traitement informe le destinataire des données à caractère personnel de toute limitation du traitement et qu'il prend toutes les mesures raisonnables afin de garantir que ces limitations soient respectées. La première phrase s'applique également aux limitations du traitement que le responsable du traitement doit respecter en vertu de l'article 7 bis, paragraphe 3.

Justification

Lorsque des données sont transférées à l'intérieur de l'Union européenne, il convient d'appliquer d'abord les limitations du traitement en vigueur au niveau national pour que les données puissent, ensuite, être transmises à un État tiers. Autrement, la confiance nécessaire à un échange de données au sein de l'Union européenne disparaîtrait.

Amendement  81

Proposition de directive

Article 38 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 34, paragraphe 3.

2. Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées, à l'intérieur du champ d'application de la présente directive, pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 34, paragraphe 3. Ce faisant, la Commission respecte les compétences des États membres et les mesures juridiques ou concrètes prises dans l'exercice de ces compétences.

Amendement  82

Proposition de directive

Article 41 – paragraphe 5

Texte proposé par la Commission

Amendement

5. Un membre dont le mandat expire ou qui démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau membre.

5. Un membre dont le mandat expire ou qui démissionne continue d'exercer ses fonctions, sur demande, jusqu'à la nomination d'un nouveau membre.

Justification

Dans le cas d'un licenciement pour faute grave, la poursuite de l'activité sans condition jusqu'à la désignation d'un successeur peut être inacceptable. La poursuite de l'activité ne devrait donc avoir lieu que "sur demande".

Amendement  83

Proposition de directive

Article 44 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément à la présente directive.

1. Les États membres prévoient que chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, au minimum les pouvoirs dont elle est investie conformément à la présente directive.

Amendement  84

Proposition de directive

Article 45 – paragraphe 1 – point a

Texte proposé par la Commission

Amendement

(a) contrôle et assure l'application des dispositions adoptées conformément à la présente directive et de ses mesures d'exécution;

(a) contrôle et assure, au minimum, l'application des dispositions adoptées conformément à la présente directive et de ses mesures d'exécution;

Amendement  85

Proposition de directive

Article 45 – paragraphe 1 – point b

Texte proposé par la Commission

Amendement

(b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant et dûment mandatée par elle conformément à l'article 50, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment lorsqu'un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

(b) reçoit les réclamations introduites par toute personne concernée, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment lorsqu'un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

Justification

Amendement faisant suite à la suppression du droit de réclamation des associations à l'article 50.

Amendement  86

Proposition de directive

Article 45 – paragraphe 1 – point e

Texte proposé par la Commission

Amendement

(e) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle a saisi l'autorité de contrôle d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

(e) effectue des enquêtes à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle a saisi l'autorité de contrôle d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; l'autorité de contrôle peut également mener de telles enquêtes dans le cadre du droit national de sa propre initiative;

Amendement  87

Proposition de directive

Article 46 – point c

Texte proposé par la Commission

Amendement

(c) le pouvoir d'ester en justice en cas de violation des dispositions nationales adoptées en application de la présente directive ou le pouvoir de porter cette violation à la connaissance de l'autorité judiciaire.

(c) le pouvoir d'ester en justice en cas de violation des dispositions nationales adoptées en application de la présente directive ou le pouvoir de porter cette violation à la connaissance de l'autorité judiciaire. Les décisions de l'autorité de contrôle donnant lieu à des réclamations peuvent faire l'objet d'un recours juridictionnel.

Justification

Le droit de recours juridictionnel devant à l'évidence, être garanti, l'amendement reprend l'exacte formulation de l'article 25, paragraphe 2, point c), de la décision-cadre 2008/977/JAI.

Amendement  88

Proposition de directive

Article 49 – paragraphe 1 – point a

Texte proposé par la Commission

Amendement

(a) conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification de la présente directive;

(a) conseiller les institutions européennes sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification de la présente directive;

Amendement  89

Proposition de directive

Article 52 – alinéa 1

Texte proposé par la Commission

Amendement

Les États membres prévoient que, sans préjudice de tout recours administratif qui lui est ouvert, notamment le droit de saisir une autorité de contrôle d'une réclamation, toute personne physique dispose d'un recours juridictionnel si elle considère qu'il a été porté atteinte aux droits que lui confère la présente directive, à la suite du traitement de données à caractère personnel la concernant, effectué en violation des dispositions de ladite directive.

Les États membres prévoient que, sans préjudice de tout recours administratif qui lui est ouvert, notamment le droit de saisir une autorité de contrôle d'une réclamation, toute personne physique dispose d'un recours juridictionnel s'il a été porté atteinte aux droits que lui confère la présente directive, à la suite du traitement de données à caractère personnel la concernant, effectué en violation des dispositions de ladite directive.

Amendement  90

Proposition de directive

Article 54 – paragraphe 1

Texte proposé par la Commission

Amendement

1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions adoptées conformément à la présente directive a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions adoptées conformément à la présente directive a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi, conformément au droit national.

Amendement  91

Proposition de directive

Article 54 – paragraphe 1 bis (nouveau)

Texte proposé par la Commission

Amendement

 

1 bis. Si une autorité compétente d'un État membre a transmis des données à caractère personnel, le destinataire ne peut pas invoquer l'inexactitude des données transmises pour se décharger de la responsabilité qui lui incombe conformément à son droit national à l'égard de la personne lésée. Si le destinataire verse des dommages et intérêts en raison de l'utilisation de données indûment transmises, l'autorité compétente qui a transmis lesdites données en rembourse intégralement le montant au destinataire, en tenant compte de toute erreur éventuellement imputable au destinataire.

Justification

Cf. article 19, paragraphes 1 et 2, de la décision-cadre 2008/977/JI.

Amendement  92

Proposition de directive

Article 55

Texte proposé par la Commission

Amendement

Les États membres déterminent le régime des sanctions applicables aux violations des dispositions adoptées conformément à la présente directive et prennent toute mesure nécessaire pour garantir leur application. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives.

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent, en particulier, le régime des sanctions applicables aux violations des dispositions adoptées conformément à la présente directive et prennent toute mesure nécessaire pour garantir leur application. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives.

Justification

Cf. article 24 de la décision-cadre 2008/977/JAI.

Amendement  93

Proposition de directive

Article 56 – paragraphe 2

Texte proposé par la Commission

Amendement

2. La délégation de pouvoir visée à l'article 28, paragraphe 5, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur de la présente directive.

2. La délégation de pouvoir visée à l'article 34, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur de la présente directive.

Justification

Amendement faisant suite à la suppression de la délégation à l'article 28, paragraphe 5, et au passage des actes d'exécution aux actes délégués à l'article 34, paragraphe 3.

Amendement  94

Proposition de directive

Article 56 – paragraphe 3

Texte proposé par la Commission

Amendement

3. La délégation de pouvoir visée à l'article 28, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur.

3. La délégation de pouvoir visée à l'article 34, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur.

Justification

Amendement faisant suite à la suppression de la délégation à l'article 28, paragraphe 5, et au passage des actes d'exécution aux actes délégués à l'article 34, paragraphe 3.

Amendement  95

Proposition de directive

Article 56 – paragraphe 5

Texte proposé par la Commission

Amendement

5. Un acte délégué adopté en vertu de l'article 28, paragraphe 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

5. Un acte délégué adopté en vertu de l'article 34, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.

Justification

Amendement faisant suite à la suppression de la délégation à l'article 28, paragraphe 5, et au passage des actes d'exécution aux actes délégués à l'article 34, paragraphe 3.

Amendement  96

Proposition de directive

Article 57 – paragraphe 2

Texte proposé par la Commission

Amendement

2. Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) nº 182/2011 s'applique.

supprimé

Justification

Cet amendement est consécutif aux changements apportés à l'article 34.

Amendement  97

Proposition de directive

Article 60

Texte proposé par la Commission

Amendement

Les accords internationaux conclus par les États membres avant l'entrée en vigueur de la présente directive sont modifiés, en tant que de besoin, dans un délai de cinq ans à compter de son entrée en vigueur.

1. Les accords internationaux conclus par les États membres avant l'entrée en vigueur de la présente directive sont modifiés, en tant que de besoin, dans un délai de dix ans à compter de son entrée en vigueur, pour autant qu'ils ne soient pas de toute façon soumis à un contrôle séparé.

 

2. Sans préjudice du premier paragraphe, les dispositions de l'article 36 s'appliquent par analogie, en cas de décision négative quant au caractère adéquat de la protection des données, aux accords internationaux conclus avant l'entrée en vigueur de la présente directive.

Justification

Un délai d'adaptation de cinq ans est trop bref, vu la diversité et la complexité des conventions internationales existantes. Les dispositions de l'article 36 ne doivent pas seulement s'appliquer entre les États membres mais également, par analogie, aux conventions internationales existantes.

Amendement  98

Proposition de directive

Annexe X (nouvelle)

Texte proposé par la Commission

Amendement

 

Annexe [x]

 

Liste des pays tiers, des territoires ou secteurs de traitement dans des pays tiers, ou des organisations internationales qui assurent un niveau de protection adéquat au sens de l'article 34, paragraphe 2.

Justification

Cet amendement est consécutif aux changements apportés à l'article 34.

PROCÉDURE

Titre

Protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et libre circulation de ces données (directive)

Références

COM(2012)0010 – C7-0024/2012 – 2012/0010 (COD)

Commission compétente au fond

       Date de l'annonce en séance

LIEBE

16.2.2012

 

 

 

Avis émis par

       Date de l'annonce en séance

JURI

14.6.2012

Rapporteur(e) pour avis

       Date de la nomination

Axel Voss

14.6.2012

Examen en commission

18.12.2012

21.2.2013

 

 

Date de l'adoption

19.3.2013

 

 

 

Résultat du vote final

+:

–:

0:

14

9

0

Membres présents au moment du vote final

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Tadeusz Zwiefka

Suppléant(s) présent(s) au moment du vote final

Piotr Borys, Eva Lichtenberger, Axel Voss

Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final

Ricardo Cortés Lastra


PROCÉDURE

Titre

Protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et libre circulation de ces données (directive)

Références

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Date de la présentation au PE

25.1.2012

 

 

 

Commission compétente au fond

       Date de l'annonce en séance

LIBE

16.2.2012

 

 

 

Commission(s) saisie(s) pour avis

       Date de l'annonce en séance

JURI

14.6.2012

 

 

 

Rapporteur(s)

       Date de la nomination

Dimitrios Droutsas

25.4.2012

 

 

 

Examen en commission

27.2.2012

31.5.2012

9.7.2012

19.9.2012

 

5.11.2012

10.1.2013

21.1.2013

20.3.2013

 

7.5.2013

9.7.2013

21.10.2013

 

Date de l'adoption

21.10.2013

 

 

 

Résultat du vote final

+:

–:

0:

29

20

3

Membres présents au moment du vote final

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Suppléant(s) présent(s) au moment du vote final

Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria

Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final

Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski

Date du dépôt

22.11.2013

Dernière mise à jour: 17 décembre 2013Avis juridique