RAPPORT sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE
19.10.2017 - (COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)) - ***I
Commission des libertés civiles, de la justice et des affaires intérieures
Rapporteure: Cornelia Ernst
PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE
(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))
(Procédure législative ordinaire: première lecture)
Le Parlement européen,
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2017)0008),
– vu l’article 294, paragraphe 2, et l’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C8-0008/2017),
– vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,
– vu les contributions présentées par la Chambre des députés tchèque, le Parlement espagnol et le Parlement portugais sur le projet d’acte législatif,
– vu l’article 59 de son règlement intérieur,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et l’avis de la commission des affaires juridiques (A8-0313/2017),
1. arrête la position en première lecture figurant ci-après;
2. demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.
Amendement 1 Proposition de règlement Considérant 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. |
1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la Convention européenne des droits de l’homme. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 2 Proposition de règlement Considérant 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5) Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions et organes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679. |
5) Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne1 bis, être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Voir l’arrêt de la Cour de justice du 9 mars 2010 dans l’affaire C-518/07, Commission/Allemagne, ECLI:EU:C:2010:125, points 26 et 28. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 3 Proposition de règlement Considérant 7 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
7 bis) Le cadre juridique de la protection des données pour le traitement des données dans le contexte des activités menées par les institutions et organes de l’Union dans les domaines de la liberté, de la sécurité et de la justice ainsi que de la politique étrangère et de sécurité commune reste fragmenté, ce qui crée une insécurité juridique. Le présent règlement devrait par conséquent prévoir des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées par les institutions et organes de l’Union chargés de missions relevant de la troisième partie, titre V, chapitres 4 et 5, du traité FUE et du titre V, chapitre 2, du traité UE. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 4 Proposition de règlement Considérant 8 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(8) Dans la déclaration nº 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du TFUE pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Le présent règlement devrait donc s’appliquer aux agences de l’Union menant des activités dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière uniquement dans la mesure où la législation de l’Union applicable à de telles agences ne contient aucune règle spécifique relative au traitement des données à caractère personnel. |
(8) Dans la déclaration nº 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du TFUE pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Par ailleurs, étant donné la nature particulière de la politique étrangère et de sécurité commune et ses règles spécifiques relatives à la protection et à la libre circulation des données à caractère personnel, il pourrait s’avérer nécessaire d’assurer la libre circulation des sonnées à caractère personnelle dans ce domaine également. Il apparaît par conséquent judicieux de règlementer le traitement des données opérationnelles à caractère personnel par des agences de l’Union établies sur la base de la troisième partie, titre V, chapitres 4 et 5, du traité FUE et dans le cadre des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 43 du traité UE en établissant des règles spécifiques qui dérogent à certaines règles générales fixées par le présent règlement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 5 Proposition de règlement Considérant 14 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
14) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. |
14) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. Toutefois, la personne concernée devrait avoir le droit de retirer son consentement à tout moment, sans porter atteinte à la légalité du traitement fondé sur le consentement effectué avant le retrait de celui-ci. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 6 Proposition de règlement Considérant 15 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
15) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données est limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement. |
15) Tout traitement de données à caractère personnel devrait être licite et loyal et s’effectuer au regard d’objectifs bien déterminés et explicites. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données est limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement, leur divulgation par la transmission ainsi que l’utilisation non autorisée de ces données et de cet équipement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 7 Proposition de règlement Considérant 18 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
18) Le droit de l’Union incluant les règles internes visées dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme. |
18) Le droit de l’Union visé dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément aux exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 8 Proposition de règlement Considérant 20 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
20) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE14 du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. |
20) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE14 du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que les catégories de destinataires des données, et devrait être informée du droit d’accès et de modification. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
_________________ |
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
14 Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). |
14 Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 9 Proposition de règlement Considérant 22 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
22) Lorsque des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la directive (UE) 2016/680 souhaiteraient que des données à caractère personnel leur soient transmises par des institutions et organes de l’Union, ces destinataires devraient démontrer que la transmission est nécessaire à la réalisation de leur objectif, qu’elle est proportionnée et qu’elle ne va pas au-delà de ce qui est nécessaire pour atteindre cet objectif. Les institutions et organes de l’Union devraient démontrer cette nécessité lorsqu’ils sont eux-mêmes à l’origine de la transmission, conformément au principe de transparence. |
22) Lorsque des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la directive (UE) 2016/680 souhaiteraient que des données à caractère personnel leur soient transmises par des institutions et organes de l’Union, ces destinataires devraient communiquer au responsable du traitement une demande motivée de transmission qui devrait servir de base au responsable du traitement afin qu’il évalue si la transmission est nécessaire à la réalisation de leur objectif, si elle est proportionnée et si elle ne va pas au-delà de ce qui est nécessaire pour atteindre cet objectif. Les institutions et organes de l’Union devraient démontrer cette nécessité lorsqu’ils sont eux-mêmes à l’origine de la transmission, conformément au principe de transparence. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 10 Proposition de règlement Considérant 23 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(23) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales. |
(23) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel ne devraient être traitées que si le traitement est autorisé dans des cas spécifiques énoncés dans le présent règlement. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 11 Proposition de règlement Considérant 23 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(23 bis) Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée devraient être traitées uniquement à des fins liées à la santé, lorsqu’il est nécessaire de parvenir à ces fins dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de santé ou d’aide sociale. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 12 Proposition de règlement Considérant 24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(24) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) nº 1338/2008 du Parlement européen et du Conseil15, à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins par des tiers. |
(24) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) nº 1338/2008 du Parlement européen et du Conseil15, à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
__________________ |
__________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
15 Règlement (CE) nº 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70). |
15 Règlement (CE) nº 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 13 Proposition de règlement Considérant 37 – alinéa 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, au droit à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. |
Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 14 Proposition de règlement Considérant 37 – alinéa 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Si aucune limitation n’est prévue dans les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, ces institutions et ces organes peuvent, dans un cas spécifique, imposer une limitation ad hoc à certains principes spécifiques ainsi qu’aux droits d’une personne concernée si cette limitation respecte l’essence des libertés et droits fondamentaux et, en ce qui concerne l’opération de traitement spécifique, si elle est nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs mentionnés au premier alinéa. La limitation devrait être notifiée au délégué à la protection des données. Il y a lieu que toutes les limitations respectent les exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. |
supprimé | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 15 Proposition de règlement Considérant 39 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(39 bis) Le règlement (UE) 2016/679 prévoit que les responsables du traitement démontrent le respect des obligations qui leur incombent grâce à l’application de mécanismes de certification approuvés. De même, les institutions et organes de l’Union devraient être en mesure de démontrer la conformité au présent règlement par l’obtention d’une certification, conformément à l’article 42 du règlement (UE) 2016/679. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 16 Proposition de règlement Considérant 42 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(42) Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient pouvoir établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient aussi pouvoir rendre ce registre public. |
(42) Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient rendre ce registre public. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 17 Proposition de règlement Considérant 47 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
47) Le règlement (CE) nº 45/2001 prévoit une obligation générale pour le responsable du traitement de notifier les opérations de traitement de données à caractère personnel au délégué à la protection des données, qui, à son tour, tient un registre des opérations de traitement notifiées. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur étendue, de leur contexte et de leurs finalités. Ces types d’opérations de traitement pourraient inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial. Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de l’étendue, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement. |
47) Le règlement (CE) nº 45/2001 prévoit une obligation générale pour le responsable du traitement de notifier les opérations de traitement de données à caractère personnel au délégué à la protection des données, qui, à son tour, tient un registre des opérations de traitement notifiées. Outre cette obligation générale, des procédures et des mécanismes efficaces devraient être mis en place ciblant plutôt les types d’opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur étendue, de leur contexte et de leurs finalités. Ces procédures devraient également être mises en place notamment lorsqu’il s’agit de types d’opérations de traitement qui impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial. Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de l’étendue, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 18 Proposition de règlement Considérant 50 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
50) Le règlement (UE) 2016/679 a institué le comité européen de la protection des données en tant qu’organe indépendant de l’Union doté de la personnalité juridique. Le comité devrait contribuer à l’application cohérente du règlement (UE) 2016/679 et de la directive 2016/680 dans l’ensemble de l’Union, notamment en conseillant la Commission. Parallèlement, le Contrôleur européen de la protection des données devrait continuer d’exercer ses fonctions de contrôle et de conseil pour toutes les institutions et tous les organes de l’Union, que ce soit de sa propre initiative ou sur demande. Afin de garantir la cohérence des règles applicables en matière de protection des données dans l’ensemble de l’Union, la Commission devrait être tenue de procéder à une consultation après l’adoption d’actes législatifs ou pendant l’élaboration d’actes délégués et d’actes d’exécution tels que définis aux articles 289, 290 et 291 du TFUE, ainsi qu’après l’adoption de recommandations et de propositions relatives à des accords conclus avec des pays tiers et des organisations internationales visés à l’article 218 du TFUE, lorsque ces actes, recommandations ou propositions ont une incidence sur le droit à la protection des données à caractère personnel. Dans de tels cas, la Commission devrait être obligée de consulter le Contrôleur européen de la protection des données, sauf lorsque le règlement (UE) 2016/679 prévoit la consultation obligatoire du comité européen de la protection des données, par exemple au sujet de décisions d’adéquation ou d’actes délégués concernant les icônes normalisées et les exigences applicables aux mécanismes de certification. Lorsque l’acte en question revêt une importance particulière pour la protection des droits et libertés des particuliers à l’égard du traitement de leurs données à caractère personnel, la Commission devrait pouvoir, en plus, consulter le comité européen de la protection des données. Dans de tels cas, le Contrôleur européen de la protection des données devrait, en tant que membre du comité européen de la protection des données, coordonner ses travaux avec ce dernier en vue de remettre un avis conjoint. Le Contrôleur européen de la protection des données et, le cas échéant, le comité européen de la protection des données devraient fournir leurs conseils par écrit dans un délai de huit semaines. Ce délai devrait être raccourci en cas d’urgence ou dans d’autres cas jugés appropriés, par exemple lorsque la Commission élabore des actes délégués et des actes d’exécution. |
50) Le règlement (UE) 2016/679 a institué le comité européen de la protection des données en tant qu’organe indépendant de l’Union doté de la personnalité juridique. Le comité devrait contribuer à l’application cohérente du règlement (UE) 2016/679 et de la directive (UE) 2016/680 dans l’ensemble de l’Union, notamment en conseillant la Commission. Parallèlement, le Contrôleur européen de la protection des données devrait continuer d’exercer ses fonctions de contrôle et de conseil pour toutes les institutions et tous les organes de l’Union, que ce soit de sa propre initiative ou sur demande. Afin de garantir la cohérence des règles applicables en matière de protection des données dans l’ensemble de l’Union, la Commission devrait être tenue de procéder à une consultation lors de l’adoption de propositions d’actes législatifs ou pendant l’élaboration d’actes délégués et d’actes d’exécution tels que définis aux articles 289, 290 et 291 du TFUE, et lors de l’adoption de recommandations et de propositions relatives à des accords conclus avec des pays tiers et des organisations internationales visés à l’article 218 du TFUE, lorsque ces actes, recommandations ou propositions ont une incidence sur le droit à la protection des données à caractère personnel. Dans de tels cas, la Commission devrait être obligée de consulter le Contrôleur européen de la protection des données, sauf lorsque le règlement (UE) 2016/679 prévoit la consultation obligatoire du comité européen de la protection des données, par exemple au sujet de décisions d’adéquation ou d’actes délégués concernant les icônes normalisées et les exigences applicables aux mécanismes de certification. Lorsque l’acte en question revêt une importance particulière pour la protection des droits et libertés des particuliers à l’égard du traitement de leurs données à caractère personnel, la Commission devrait pouvoir, en plus, consulter le comité européen de la protection des données. Dans de tels cas, le Contrôleur européen de la protection des données devrait, en tant que membre du comité européen de la protection des données, coordonner ses travaux avec ce dernier en vue de remettre un avis conjoint. Le Contrôleur européen de la protection des données et, le cas échéant, le comité européen de la protection des données devraient fournir leurs conseils par écrit dans un délai de huit semaines. Ce délai devrait être raccourci en cas d’urgence ou dans d’autres cas jugés appropriés, par exemple lorsque la Commission élabore des actes délégués et des actes d’exécution. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 19 Proposition de règlement Considérant 50 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
50 bis) Conformément à l’article 75 du règlement (UE) 2016/679, le comité européen de la protection des données dispose d’un secrétariat, qui est assuré par le Contrôleur européen de la protection des données. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 20 Proposition de règlement Considérant 52 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
52) Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne devrait pas être compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant. |
52) Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement devrait être respecté, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement, du règlement (UE) 2016/679 et des libertés et droits fondamentaux consacrés par la charte. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 21 Proposition de règlement Considérant 53 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
53) La Commission peut décider, en vertu de l’article 45 du règlement (UE) 2016/679, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale propose un niveau adéquat de protection des données. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale par une institution ou un organe de l’Union peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation. |
53) La Commission peut décider, en vertu de l’article 45 du règlement (UE) 2016/679 ou de l’article 36 de la directive (UE) 2016/680, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale propose un niveau adéquat de protection des données. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale par une institution ou un organe de l’Union peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 22 Proposition de règlement Considérant 64 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
64 bis) La Commission a proposé de modifier le règlement (UE) nº 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») de sorte que le système IMI puisse être utilisé non seulement par les autorités compétentes des États membres et la Commission, mais aussi par les organes et organismes de l’Union1 bis. Dans l’attente de cette révision, le Contrôleur européen de la protection des données et le Comité européen de la protection des données devraient pouvoir utiliser le système d’information du marché intérieur aux fins de coopération administrative et d’échange d’informations visées dans le règlement général sur la protection des données en vue de son entrée en vigueur le 25 mai 2018. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Voir l’article 36 de la proposition de règlement du Parlement européen et du Conseil établissant un portail numérique unique pour donner accès à des informations, des procédures et des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) nº 1024/2012, COM(2017) 256, 2017/0086(COD). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 23 Proposition de règlement Considérant 65 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
65) Dans certains cas, le droit de l’Union prévoit un modèle de contrôle coordonné, partagé entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales. En outre, le Contrôleur européen de la protection des données est l’autorité de contrôle d’Europol et un modèle spécifique de coopération avec les autorités de contrôle nationales est mis en place dans le cadre d’un comité de coopération de nature consultative. Afin d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles matérielles relatives à la protection des données, un modèle unique et cohérent de contrôle coordonné devrait être introduit dans l’Union. La Commission devrait donc, lorsqu’il y a lieu, soumettre des propositions législatives visant à modifier les actes juridiques qui organisent un modèle de contrôle coordonné afin de les aligner sur le modèle de contrôle coordonné prévu par le présent règlement. Le comité européen de la protection des données devrait servir de forum unique garantissant un contrôle coordonné efficace de manière systématique. |
65) Dans certains cas, le droit de l’Union prévoit un modèle de contrôle coordonné, partagé entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales. En outre, le Contrôleur européen de la protection des données est l’autorité de contrôle d’Europol et un modèle spécifique de coopération avec les autorités de contrôle nationales est mis en place dans le cadre d’un comité de coopération de nature consultative. Afin d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles matérielles relatives à la protection des données, le présent règlement devrait mettre en place un modèle unique et cohérent de contrôle coordonné. Le comité européen de la protection des données devrait servir de forum unique garantissant un contrôle coordonné efficace de manière systématique. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 24 Proposition de règlement Article 1 – paragraphe 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. |
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques consacrés par la charte, et en particulier leur droit à la protection des données à caractère personnel. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 25 Proposition de règlement Article 2 – paragraphe 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Le présent règlement s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union, dans la mesure où ce traitement est effectué pour l’exercice d’activités qui relèvent en tout ou en partie du champ d’application du droit de l’Union. |
1. Le présent règlement s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 26 Proposition de règlement Article 2 – paragraphe 2 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2 bis. Le présent règlement s’applique également aux agences de l’Union menant des activités relevant des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, y compris lorsque les actes fondateurs de ces agences établissent un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel. Les dispositions relatives au traitement spécifique des données à caractère personnel opérationnelles contenues dans les actes fondateurs des agences peuvent préciser et compléter la mise en application du présent règlement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 27 Proposition de règlement Article 3 – paragraphe 1 – point a | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(a) les définitions figurant dans le règlement (UE) 2016/679, à l’exception de la définition du terme «responsable du traitement» figurant à l’article 4, point 7), de ce règlement; |
(a) les définitions figurant dans le règlement (UE) 2016/679, à l’exception de la définition des termes de «responsable du traitement» figurant à l’article 4, point 7), d’«établissement principal» figurant à l’article 4, point 16), d’«entreprise» figurant à l’article 4, point 18), de «groupe d’entreprises», figurant à l’article 4, point 19), de ce règlement; la définition du terme «communications électroniques» figurant à l’article 4, paragraphe 2, point a), du règlement (UE) XX/XXXX (règlement «vie privée et communications électroniques»); | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 28 Proposition de règlement Article 3 – paragraphe 2 – point d bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
d bis) «données opérationnelles à caractère personnel»: les données à caractère personnel traitées par les agences de l’Union établies sur la base de la troisième partie, titre V, chapitres 4 et 5, du traité FUE et dans le cadre des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité UE afin de réaliser les objectifs fixés dans les actes portant création des agences ou missions susmentionnées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 29 Proposition de règlement Article 4 – paragraphe 1 – partie introductive | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Les données à caractère personnel doivent être: |
1. Les données à caractère personnel sont: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 30 Proposition de règlement Article 4 – paragraphe 1 – point d | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); |
(Ne concerne pas la version française.) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 31 Proposition de règlement Article 5 – paragraphe 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. La mission d’intérêt public mentionnée au paragraphe 1, point a), est inscrite dans le droit de l’Union. |
2. La mission d’intérêt public mentionnée au paragraphe 1, point a), est inscrite dans le droit de l’Union. La base juridique du traitement visé au paragraphe 1, point b), est fixée dans le droit de l’Union ou dans le droit de l’État membre auquel le responsable du traitement est soumis. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 32 Proposition de règlement Article 8 – titre | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information |
Conditions applicables au consentement de l’enfant en ce qui concerne les services de la société de l’information | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 33 Proposition de règlement Article 8 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 8 bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Transfert de données à caractère personnel entre institutions et organes de l’Union | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sans préjudice des articles 4, 5, 6 et 10: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1. Les données à caractère personnel ne peuvent faire l’objet de transferts entre institutions ou organes de l’Union ou en leur sein que si elles sont nécessaires à l’exécution légitime de missions relevant de la compétence du destinataire. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2. Lorsque les données sont transférées à la suite d’une demande du destinataire, tant le responsable du traitement que le destinataire assument la responsabilité de la légitimité de ce transfert. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le responsable du traitement est tenu de vérifier la compétence du destinataire et d’évaluer à titre provisoire la nécessité du transfert de ces données. Si des doutes se font jour quant à la nécessité de ce transfert, le responsable du traitement demande au destinataire un complément d’informations. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le destinataire veille à ce que la nécessité du transfert des données puisse être ultérieurement vérifiée. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
3. Le destinataire traite les données à caractère personnel uniquement aux fins qui ont motivé leur transmission. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 34 Proposition de règlement Article 9 – paragraphe 1 – partie introductive | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Sans préjudice des articles 4, 5, 6 et 10, des données à caractère personnel ne sont transmises à des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la réglementation nationale adoptée en vertu de la directive (UE) 2016/680 que si le destinataire démontre: |
1. Sans préjudice des articles 4, 5, 6, 10, 14, de l’article 15, paragraphe 3, et de l’article 16, paragraphe 4, des données à caractère personnel ne sont transmises à des destinataires établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la réglementation nationale adoptée en vertu de la directive (UE) 2016/680 que si le responsable du traitement démontre, sur la base d’une demande motivée du destinataire: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 35 Proposition de règlement Article 9 – paragraphe 1 – point b | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
b) que la transmission des données est nécessaire et proportionnée à sa finalité et s’il n’existe aucune raison de penser que cette transmission pourrait porter atteinte aux droits, libertés et intérêts légitimes de la personne concernée. |
b) que la transmission est proportionnée et nécessaire aux fins de servir un intérêt public tel que la transparence ou la bonne administration et, s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée, après avoir mis manifestement en balance les différents intérêts en présence; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 36 Proposition de règlement Article 10 – paragraphe 2 – point a | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
a) la personne concernée a donné son consentement explicite au traitement de ces données pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union prévoit que l’interdiction mentionnée au paragraphe 1 ne peut pas être levée par la personne concernée; |
a) la personne concernée a donné son consentement explicite au traitement de ces données personnelles pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union prévoit que l’interdiction mentionnée au paragraphe 1 ne peut pas être levée par la personne concernée; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 37 Proposition de règlement Article 10 – paragraphe 3 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. Les données à caractère personnel mentionnées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union ou sous la responsabilité d’un tel professionnel. |
3. Les données à caractère personnel mentionnées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union ou d’un État membre, ou aux règles arrêtées par les instances nationales compétentes, ou sous la responsabilité d’un tel professionnel, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou d’un État membre, ou aux règles arrêtées par les instances nationales compétentes. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 38 Proposition de règlement Article 11 – alinéa unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, ne peut être effectué que s’il est autorisé par le droit de l’Union, ce qui peut inclure des règles internes, prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées. |
Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, n’est effectué que s’il est autorisé par le droit de l’Union prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 39 Proposition de règlement Article 14 – paragraphe 5 – alinéa unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Aucun paiement n’est exigé pour fournir les informations au titre des articles 15 et 16 ni pour procéder à une communication ou prendre une mesure au titre des articles 17 à 24 et de l’article 38. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à la demande. |
Aucun paiement n’est exigé pour fournir les informations au titre des articles 15 et 16 ni pour procéder à une communication ou prendre une mesure au titre des articles 17 à 24 et de l’article 38. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 40 Proposition de règlement Article 14 – paragraphe 8 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. Si la Commission adopte des actes délégués en vertu de l’article 12, paragraphe 8, du règlement (UE) 2016/679 aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées, les institutions et organes de l’Union fournissent, le cas échéant, les informations requises en vertu des articles 15 et 16 en combinaison avec ces icônes normalisées. |
8. La Commission est habilitée à adopter des actes délégués en vertu de l’article 12, paragraphe 8, du règlement (UE) 2016/679 aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées; les institutions et organes de l’Union fournissent, le cas échéant, les informations requises en vertu des articles 15 et 16 en combinaison avec ces icônes normalisées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 41 Proposition de règlement Article 16 – paragraphe 5 – point b | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; |
b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 42 Proposition de règlement Article 16 – paragraphe 5 – point c | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union; ou |
c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger l’intérêt légitime de la personne concernée; ou | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 43 Proposition de règlement Article 16 – paragraphe 5 – point d | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union. |
d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union, y compris une obligation légale de secret professionnel. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 44 Proposition de règlement Article 16 – paragraphe 5 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
5 bis. Dans les cas visés au paragraphe 5, point b), le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 45 Proposition de règlement Article 20 – paragraphe 1 – point b | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
b) le traitement des données à caractère personnel est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation; |
b) le traitement est illicite et la personne concernée s’oppose à l’effacement des données à caractère personnel et exige à la place la limitation de leur utilisation; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 46 Proposition de règlement Article 25 – paragraphe 1 – partie introductive | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir: |
1. Des actes juridiques adoptés sur la base des traités peuvent limiter l’application des articles 14 à 22 et de l’article 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 47 Proposition de règlement Article 25 – paragraphe 1 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis. Les actes adoptés en vertu du paragraphe 1 sont clairs et précis. Leur application est prévisible pour les personnes qui y sont soumises. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 48 Proposition de règlement Article 25 – paragraphe 1 ter (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 ter. En particulier, les actes juridiques adoptés en vertu du paragraphe 1 contiennent des dispositions spécifiques relatives, au moins, le cas échéant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
a) aux finalités du traitement ou des catégories de traitement; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
b) aux catégories de données à caractère personnel; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
c) à l’étendue des limitations introduites; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
g) aux risques pour les droits et libertés des personnes concernées; et | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 49 Proposition de règlement Article 25 – paragraphe 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. Lorsqu’aucune limitation n’est prévue par un acte juridique adopté sur la base des traités ou par une règle interne conformément au paragraphe 1, les institutions et organes de l’Union peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux, en lien avec une opération de traitement spécifique, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs énumérés au paragraphe 1. La limitation est notifiée au délégué à la protection des données compétent. |
supprimé | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 50 Proposition de règlement Article 25 – paragraphe 3 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. |
3. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 51 Proposition de règlement Article 25 – paragraphe 4 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. |
4. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 52 Proposition de règlement Article 25 – paragraphe 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. Les règles internes mentionnées aux paragraphes 1, 3 et 4 sont suffisamment claires et précises et font l’objet d’une publication adéquate. |
supprimé | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 53 Proposition de règlement Article 25 – paragraphe 6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
6. Si une limitation est imposée en vertu du paragraphe 1 ou 2, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données. |
6. Si une limitation est imposée en vertu du paragraphe 1, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 54 Proposition de règlement Article 25 – paragraphe 7 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
7. Si une limitation imposée en vertu du paragraphe 1 ou 2 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées. |
7. Si une limitation imposée en vertu du paragraphe 1 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 55 Proposition de règlement Article 25 – paragraphe 8 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
8. La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1 ou 2. |
8. La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 56 Proposition de règlement Article 26 – paragraphe 2 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2 bis. L’application de mécanismes de certification approuvés comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 57 Proposition de règlement Article 27 – paragraphe 2 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2 bis. Un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences prévues aux paragraphes 1 et 2 du présent article. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 58 Proposition de règlement Article 28 – paragraphe 3 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. La personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre un ou plusieurs des responsables du traitement, en tenant compte de leur rôle tel que défini dans les termes de l’accord mentionné au paragraphe 1. |
3. Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 59 Proposition de règlement Article 31 – paragraphe 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. Les institutions et organes de l’Union peuvent décider de tenir leurs registres des activités de traitement dans un registre central. Dans ce cas, ils peuvent également décider de mettre ce registre à la disposition du public. |
5. Les institutions et organes de l’Union tiennent leurs registres des activités de traitement dans un registre central et mettent ce registre à la disposition du public. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 60 Proposition de règlement Chapitre IV – section 2 – titre | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL ET CONFIDENTIALITÉ DES COMMUNICATIONS ÉLECTRONIQUES |
SÉCURITÉ DES DONNÉES À CARACTÈRE PERSONNEL | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 61 Proposition de règlement Article 33 – paragraphe 3 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
3 bis. L’application d’un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 62 Proposition de règlement Article 33 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 33 bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
L’application d’un code de conduite approuvé, comme le prévoit l’article 40 du règlement (UE) 2016/679, peut servir d’élément pour démontrer le respect des exigences prévues aux paragraphes 1 et 2. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 63 Proposition de règlement Article 34 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Article 34 |
supprimé | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Confidentialité des communications électroniques |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques. |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 64 Proposition de règlement Article 36 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Article 36 |
supprimé | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Annuaires d’utilisateurs |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire. |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. Les institutions et organes communautaires prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans les annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe. |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 65 Proposition de règlement Chapitre 4 – section 2 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
CONFIDENTIALITÉ DES COMMUNICATION ÉLECTRONIQUES | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 66 Proposition de règlement Article 38 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 38 bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Confidentialité des communications électroniques | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 67 Proposition de règlement Article 38 ter (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 38 ter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Annuaires d’utilisateurs | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1. Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2. Les institutions et organes de l’Union prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans ces annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 68 Proposition de règlement Article 41 – alinéa unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données lorsqu’ils élaborent des mesures administratives et des règles internes relatives au traitement de données à caractère personnel impliquant une institution ou un organe de l’Union, seuls ou conjointement avec d’autres. |
Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données lorsqu’ils élaborent des mesures administratives relatives au traitement de données à caractère personnel impliquant une institution ou un organe de l’Union, seuls ou conjointement avec d’autres. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 69 Proposition de règlement Article 42 – paragraphe 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Après l’adoption de propositions d’acte législatif et de recommandations ou de propositions au Conseil en vertu de l’article 218 du TFUE et lors de l’élaboration d’actes délégués ou d’actes d’exécution, la Commission consulte le Contrôleur européen de la protection des données lorsque ces propositions, recommandations ou actes ont une incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel. |
1. Lors de l’adoption de propositions d’acte législatif et de recommandations ou de propositions au Conseil en vertu de l’article 218 du TFUE et lors de l’élaboration d’actes délégués ou d’actes d’exécution concernant la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel, la Commission consulte le Contrôleur européen de la protection des données. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 70 Proposition de règlement Article 44 – paragraphe 4 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. Le délégué à la protection des données peut être un membre du personnel de l’institution ou de l’organe de l’Union, ou exercer ses missions sur la base d’un contrat de service. |
4. Le délégué à la protection des données est un membre du personnel de l’institution ou de l’organe de l’Union. Dans des circonstances exceptionnelles, compte tenu de leur taille et si les conditions énoncées au paragraphe 2 ne sont pas remplies, les institutions et organes de l’Union peuvent désigner un délégué à la protection des données, qui exerce ses missions sur la base d’un contrat de service. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 71 Proposition de règlement Article 45 – paragraphe 5 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
5. Le délégué à la protection des données et son personnel sont soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions, conformément au droit de l’Union. |
5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 72 Proposition de règlement Article 46 – paragraphe 1 – point g bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(g bis) veiller à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 73 Proposition de règlement Article 48 – paragraphe 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement. |
1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36 de la directive (UE) 2016/680, qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement. Un tel transfert ne nécessite pas d’autorisation spécifique. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 74 Proposition de règlement Article 49 – paragraphe 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. |
1. En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, dans le cadre des champs d’application respectifs de ces actes législatifs, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 75 Proposition de règlement Article 51 – paragraphe 1 – partie introductive | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de garanties appropriées conformément à l’article 49, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués que si l’une des conditions suivantes est respectée: |
1. En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, dans le cadre des champs d’application respectifs de ces actes législatifs, ou de garanties appropriées conformément à l’article 49, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués que si l’une des conditions suivantes est respectée: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 76 Proposition de règlement Article 54 – paragraphe 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats établie par la Commission est publique. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, peut décider d’organiser une audition de manière à pouvoir émettre une préférence. |
1. Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie conjointement par le Parlement européen, le Conseil et la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats est publique et est composé d’au moins cinq candidats. La commission compétente du Parlement européen peut décider d’organiser une audition des candidats figurant sur la liste de manière à pouvoir émettre une préférence. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 77 Proposition de règlement Article 54 – paragraphe 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. La liste établie par la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679. |
2. La liste établie conjointement par le Parlement européen, le Conseil et la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent des connaissances spécialisées en matière de protection des données ainsi que l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 78 Proposition de règlement Article 55 – paragraphe 4 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4. Le contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le Contrôleur européen de la protection des données, qui est leur supérieur hiérarchique. Ils en relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire. |
4. Le contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le Contrôleur européen de la protection des données, qui est leur supérieur hiérarchique. Ils en relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire. L’article 75, paragraphe 2, du règlement (UE) 2016/679 s’applique au personnel du Contrôleur européen de la protection des données chargé de mener à bien les missions conférées au comité européen de la protection des données par le droit de l’Union. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 79 Proposition de règlement Article 59 – paragraphe 1 – point e | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
(e) obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres. |
(e) obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 80 Proposition de règlement Article 59 – paragraphe 3 – point b bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(b bis) autoriser ou non le traitement visé à l’article 40, paragraphe 4; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 81 Proposition de règlement Article 61 – titre | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Coopération avec les autorités de contrôle nationales |
Coopération entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 82 Proposition de règlement Article 61 – alinéa unique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Le Contrôleur européen de la protection des données coopère avec les autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679 et de l’article 51 de la directive (UE) 2016/680 (ci-après dénommées les «autorités de contrôle nationales») ainsi qu’avec l’autorité de contrôle commune instituée en vertu de l’article 25 de la décision 2009/917/JAI du Conseil21, dans la mesure nécessaire à l’exercice de leurs fonctions respectives, notamment en échangeant toute information utile, en demandant aux autorités de contrôle nationales d’exercer leurs pouvoirs ou en répondant aux demandes de ces autorités. |
Le Contrôleur européen de la protection des données coopère avec les autorités de contrôle instituées en vertu de l’article 51 du règlement (UE) 2016/679 et de l’article 41 de la directive (UE) 2016/680 (ci-après dénommées les «autorités de contrôle nationales») dans la mesure nécessaire à l’exercice de leurs fonctions respectives, notamment en échangeant toute information utile, en se demandant mutuellement d’exercer leurs pouvoirs ou en répondant à leurs demandes respectives. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
_________________ |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
21 Décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes (JO L 323 du 10.12.2009, p. 20–30). |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 83 Proposition de règlement Article 61 – alinéa 1 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le Contrôleur européen de la protection des données et le comité européen de la protection des données peuvent utiliser le système d’information du marché intérieur établi par le règlement (UE) nº 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») aux fins de coopération administrative et d’échange d’informations visées aux articles 60 à 62, 64, 65 et 70 du règlement (UE) 2016/679. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 84 Proposition de règlement Article 62 – paragraphe 1 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1. Lorsqu’un acte de l’Union renvoie au présent article, le Contrôleur européen de la protection des données doit coopérer activement avec les autorités de contrôle nationales, afin d’assurer un contrôle effectif des systèmes d’information à grande échelle ou des agences de l’Union. |
1. Lorsqu’un acte de l’Union prévoit que le Contrôleur européen de la protection des données contrôle le traitement des données à caractère personnel au niveau de l’Union et que les autorités de contrôle nationales contrôlent le traitement des données à caractère personnel au niveau national, le Contrôleur européen de la protection des données et les autorités de contrôle nationales, agissant dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif et coordonné des systèmes d’information à grande échelle ou des institutions, organes et organismes de l’Union. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 85 Proposition de règlement Article 62 – paragraphe 2 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. Le Contrôleur européen de la protection des données, agissant dans le cadre de ses compétences et de ses responsabilités, doit échanger des informations utiles, aider à réaliser des audits et des inspections, examiner les difficultés d’interprétation ou d’application du présent règlement et d’autres actes de l’Union applicables, étudier les problèmes susceptibles de se présenter lors de l’exercice d’un contrôle indépendant ou lors de l’exercice des droits des personnes concernées, définir des propositions harmonisées visant à trouver des solutions aux problèmes éventuels et sensibiliser le public à la protection des données, si nécessaire conjointement avec les autorités nationales de contrôle. |
2. Agissant dans le cadre de leurs compétences et de leurs responsabilités respectives, ils doivent échanger des informations utiles, s’assister mutuellement dans la réalisation d’audits et d’inspections, examiner les difficultés d’interprétation ou d’application du présent règlement et d’autres actes de l’Union applicables, étudier les problèmes susceptibles de se présenter lors de l’exercice d’un contrôle indépendant ou lors de l’exercice des droits des personnes concernées, définir des propositions harmonisées visant à trouver des solutions aux problèmes éventuels et sensibiliser le public à la protection des données, si nécessaire. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 86 Proposition de règlement Article 62 – paragraphe 3 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
3. Aux fins prévues au paragraphe 2, le Contrôleur européen de la protection des données doit rencontrer les autorités de contrôle nationales au moins deux fois par an dans le cadre du comité européen de la protection des données. Le coût et l’organisation de ces réunions sont à la charge du comité européen de la protection des données. Le règlement intérieur est adopté lors de la première réunion. D’autres méthodes de travail sont mises au point d’un commun accord, en fonction des besoins. |
3. Aux fins prévues au paragraphe 2, le Contrôleur européen de la protection des données et les autorités de contrôle nationales se réunissent au moins deux fois par an dans le cadre du comité européen de la protection des données. Le coût et l’organisation de ces réunions sont à la charge du comité européen de la protection des données. À cet effet, le comité européen de la protection des données peut mettre au point d’autres méthodes de travail, en fonction des besoins. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 87 Proposition de règlement CHAPITRE VIII bis (nouveau) – Titre | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 88 Proposition de règlement Article 69 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 69 bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Champ d’application | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Par dérogation aux articles 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 et 51, les dispositions du présent chapitre s’appliquent au traitement de données opérationnelles par les agences de l’Union établies sur la base des chapitres 4 et 5 du titre V de la troisième partie du traité FUE et par les missions visées à l’article 42, paragraphe 1, et aux articles 43 et 43 du traité UE. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Les dispositions relatives au traitement spécifique des données à caractère personnel opérationnelles contenues dans les actes fondateurs des agences peuvent préciser et compléter la mise en application du présent règlement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 89 Proposition de règlement Article 69 ter (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 69 ter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Principes relatifs au traitement des données à caractère personnel opérationnelles | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1. Les données à caractère personnel opérationnelles sont: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(a) traitées de manière licite et loyale («licéité et loyauté»); | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré comme incompatible avec les finalités initiales, à condition que les agences et les missions de l’Union fournissent des garanties appropriées, notamment en vue de garantir que les données ne sont pas traitées à d’autres fins («limitation des finalités»); | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées («minimisation des données»); | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel opérationnelles qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder («exactitude»); | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel opérationnelles, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées («intégrité et confidentialité»); | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2. Les agences et les missions de l’Union mettent à la disposition du public un document exposant, sous une forme intelligible, les dispositions applicables en matière de traitement des données à caractère personnel opérationnelles et les moyens disponibles pour l’exercice des droits des personnes concernées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 90 Proposition de règlement Article 69 quater (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 91 Proposition de règlement Article 69 quinquies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 92 Proposition de règlement Article 69 sexies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 93 Proposition de règlement Article 69 septies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 94 Proposition de règlement Article 69 octies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 95 Proposition de règlement Article 69 nonies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 96 Proposition de règlement Article 69 decies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 97 Proposition de règlement Article 69 undecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 98 Proposition de règlement Article 69 duodecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 99 Proposition de règlement Article 69 terdecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 100 Proposition de règlement Article 69 quaterdecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 101 Proposition de règlement Article 69 quindecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 102 Proposition de règlement Article 69 sexdecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 103 Proposition de règlement Article 69 septdecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 104 Proposition de règlement CHAPITRE IX bis (nouveau) – titre | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
CHAPITRE IX bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Réexamen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 105 Proposition de règlement Article 70 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 70 bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Clause de réexamen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1. Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du présent règlement, accompagné, le cas échéant, des propositions législatives appropriées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
2. L’évaluation ex post prévue au paragraphe 1 accorde une attention particulière à la pertinence du champ d’application du présent règlement et à sa cohérence avec les autres actes législatifs relevant du domaine de la protection des données, et apprécie en particulier la mise en œuvre du chapitre V du présent règlement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
3. Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du chapitre VIII du présent règlement et sur les sanctions appliquées. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Justification | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mieux légiférer, et en particulier utiliser efficacement les évaluations ex post pour rendre compte de l’intégralité du cycle législatif, implique de suivre avec une attention particulière la transposition, l’application et le respect du droit de l’Union et, de manière plus générale, de surveiller ses incidences, son fonctionnement et son efficacité. Une clause de réexamen exhaustif exigeant une évaluation appropriée de l’application du présent règlement, de son champ d’application et des dérogations de pouvoirs prévues répond à cet objectif, de même que la mise en place d’obligations proportionnées en matière d’établissement de rapports. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 106 Proposition de règlement Article 70 ter (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 70 ter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Réexamen des actes juridiques de l’Union | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le 25 mai 2021 au plus tard, la Commission réexamine d’autres actes juridiques qui réglementent le traitement des données à caractère personnel et qui ont été adoptés en vertu des traités, en particulier par les agences créées en vertu des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, afin d’apprécier la nécessité de mettre ces actes juridiques en conformité avec le présent règlement et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour garantir une approche cohérente de la protection des données à caractère personnel dans le cadre du présent règlement. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 107 Proposition de règlement Article 71 bis (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 bis | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (CE) nº 1987/2006 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (UE) nº 1987/2006 du Parlement européen et du Conseil1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
L’article 46 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (CE) nº 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) (JO L 381 du 28.12.2006, p. 4). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 108 Proposition de règlement Article 71 ter (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 ter | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications de la décision du Conseil 2007/533/JAI | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
La décision 2007/533/JAI1 bis du Conseil est modifiée comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
L’article 62 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Décision 2007/533/JAI du Conseil du 12 juin 2007 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) (JO L 205 du 7.8.2007, p. 63). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 109 Proposition de règlement Article 71 quater (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 quater | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (CE) nº 767/2008 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (UE) nº 767/2008 du Parlement européen et du Conseil1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
L’article 43 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (CE) nº 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS), JO L 218 du 13.8.2008, p. 60. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 110 Proposition de règlement Article 71 quinquies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 quinquies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (CE) nº 515/97 du Conseil | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (CE) nº 515/971 bis du Conseil est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
À l’article 37, le paragraphe 4 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (CE) nº 515/97 du Conseil du 13 mars 1997 relatif à l’assistance mutuelle entre les autorités administratives des États membres et à la collaboration entre celles-ci et la Commission en vue d’assurer la bonne application des règlementations douanière et agricole (JO L 82 du 22.3.1997, p. 1). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 111 Proposition de règlement Article 71 sexies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 sexies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications de la décision du Conseil 2009/917/JAI | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
La décision 2009/917/JAI1 bis du Conseil est modifiée comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(1) l’article 25 est supprimé. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(2) à l’article 26, les paragraphes 2 et 3 sont remplacés par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes (JO L 323 du 10.12.2009, p. 20). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 112 Proposition de règlement Article 71 septies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 septies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (UE) nº 1024/2012 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (UE) nº 1024/2012 du Parlement européen et du Conseil1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
À l’article 21, les paragraphes 3 et 4 sont supprimés. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (UE) nº 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») (JO L 316 du 14.11.2012, p. 1). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 113 Proposition de règlement Article 71 octies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 octies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement d’exécution (UE) 2015/2447 de la Commission | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement d’exécution (UE) 2015/2447 de la Commission1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
À l’article 83, le paragraphe 8 est supprimé. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement d’exécution (UE) 2015/2447 de la Commission du 24 novembre 2015 établissant les modalités d’application de certaines dispositions du règlement (UE) nº 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union (JO L 343 du 29.12.2015, p. 558). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 114 Proposition de règlement Article 71 nonies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 nonies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (UE) nº 2016/794 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (UE) nº 2016/794 du Parlement européen et du Conseil1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(1) Les articles 25, 28, 30, 36, 37, 40, 41 et 46 sont supprimés. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(2) L’article 44 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 115 Proposition de règlement Article 71 decies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 decies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (UE) 2017/XX du Conseil | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (CE) nº 2017/...1 bis du Conseil est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(1) Les articles 36 sexies, 36 septies, 37, 37 ter, 37 quater, 37 quater quater, 37quater quater quater, 37 quinquies, 37 sexies, 37 septies, 37 octies, 37 nonies, 37 decies, 37 undecies, 37 duodecies, 37 quindecies, 37 sexdecies, 41, 41 bis, 41 ter, 43 bis, 43 ter, 43 quater, 43 quinquies, 43 sexies et 46 sont supprimés. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(2) L’article 45 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (UE) 2017/... du Conseil du... mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L ...). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 116 Proposition de règlement Article 71 undecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 undecies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (UE) 2017/XX | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (UE) 2017/... du Parlement européen et du Conseil1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(1) Les articles 27, 29, 30, 31, 33, 36 et 37 sont supprimés. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(2) L’article 35 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (UE) 2017/... du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) (JO L ...). | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Amendement 117 Proposition de règlement Article 71 duodecies (nouveau) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Texte proposé par la Commission |
Amendement | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Article 71 duodecies | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Modifications du règlement (UE) 2017/XX relatif à Eurodac | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Le règlement (UE) 2017/... du Parlement européen et du Conseil1 bis est modifié comme suit: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(1) Les articles 29, 30, 31 et 39 sont supprimés. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
(2) L’article 34 est remplacé par le texte suivant: | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
«Les autorités de contrôle nationales et le Contrôleur européen de la protection des données, agissant dans les limites de leurs compétences respectives, coopèrent entre eux conformément à l’article 62 du [nouveau règlement 45/2001]». | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
_________________ | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1 bis Règlement (UE) 2017/... du Parlement européen et du Conseil relatif à la création d’«Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du [règlement (UE) nº 604/2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride], et de l’identification des ressortissants de pays tiers ou apatrides en séjour irrégulier, et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et par Europol à des fins répressives (JO L ...). |
EXPOSÉ DES MOTIFS
I. Contexte de la proposition
L’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (traité FUE), introduit par le traité de Lisbonne, établit le principe selon lequel toute personne a droit à la protection des données à caractère personnel la concernant. En outre, avec l’article 16, paragraphe 2, du traité FUE, le traité de Lisbonne a créé une base juridique spécifique pour l’adoption de règles en matière de protection des données à caractère personnel. L’article 8 de la charte des droits fondamentaux de l’Union européenne consacre la protection des données à caractère personnel en tant que droit fondamental, tandis que l’article 7 consacre le droit de toute personne au respect de sa vie privée et familiale, de son domicile et de ses communications.
Le droit à la protection des données à caractère personnel s’applique au traitement de ces données par les institutions, organes et organismes de l’Union. Le règlement (CE) nº 45/2001, principal instrument législatif de l’Union en matière de protection des données à caractère personnel dans les institutions européennes, a été adopté en 2001 dans deux objectifs: protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel au sein de l’Union. Il a été complété par la décision nº 1247/2002/CE.
Le 27 avril 2016, le Parlement européen et le Conseil ont adopté le règlement général sur la protection des données (règlement (UE) 2016/679), qui sera applicable à partir du 25 mai 2018. Dans son article 98, le règlement général sur la protection des données demande que le règlement (CE) nº 45/2001 soit adapté aux principes et règles fixés par le règlement général sur la protection des données, dans le double objectif de mettre en place un cadre de protection des données solide et cohérent dans l’Union et de permettre aux deux instruments d’être appliqués en même temps. Le même jour, le Parlement européen et le Conseil ont adopté la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. Cette directive prévoit un cadre global pour la protection des données à caractère personnel dans le domaine de l’application de la loi. Son article 62 demande que la législation de l’Union régissant le traitement des données à caractère personnel par les autorités compétentes soit adaptée à la directive. Néanmoins, certains organismes de l’Union opérant dans le domaine de l’application de la loi continuent d’avoir des régimes autonomes pour la protection des données à caractère personnel.
Il est logique, dans le cadre de l’approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, d’aligner, autant que possible, les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles relatives à la protection des données adoptées pour les États membres. Chaque fois que les dispositions de la proposition se fondent sur le même concept que les dispositions du règlement général sur la protection des données, ces deux dispositions devraient être interprétées de manière homogène, notamment en raison du fait que l’économie de la proposition devrait être comprise comme le pendant de l’économie du règlement général sur la protection des données.
Le réexamen du règlement (CE) nº 45/2001 tient également compte des résultats des enquêtes et des consultations des parties prenantes, et de l’étude d’évaluation sur son application au cours des 15 dernières années.
II. Modifications apportées par la rapporteure
Globalement, la rapporteure est d’avis que la révision proposée est un pas important vers une harmonisation des règles en matière de protection des données et constitue une bonne base de travail.
Elle regrette toutefois que la Commission européenne n’ait pas opté pour un véritable instrument unique couvrant toutes les opérations de traitement de données de toutes les institutions, organes et organismes de l’Union, ratant ainsi une occasion historique de créer une norme solide et uniforme pour la protection du droit fondamental à la protection des données. La rapporteure estime que les citoyens de l’Union méritent une telle norme claire et uniforme, c’est pourquoi elle a proposé de préciser le champ d’application du présent règlement.
Afin d’assurer un cadre solide et cohérent pour la protection des données dans l’ensemble de l’Union, il convient que le présent règlement soit applicable à tous les traitements de données à caractère personnel effectués par une institution, un organe ou un organisme de l’Union. Dans le même temps, votre rapporteure relève que le législateur a opté, le 27 avril 2016, en faveur d’une double approche en ce qui concerne le traitement à des fins d’application de la loi. Pour autant que le traitement de données à caractère personnel à des fins d’application de la loi par les organismes de l’Union soit compatible avec les règles énoncées dans la directive (UE) 2016/680, les régimes autonomes pour certains organismes devraient continuer à s’appliquer jusqu’à la mise en conformité avec le présent règlement.
Votre rapporteure a également entrepris un strict alignement de la présente révision du règlement avec le règlement général sur la protection des données, afin de rationaliser autant que possible ces deux textes, exprimant ainsi l’idée que l’Union est tenue aux mêmes normes que les États membres lorsqu’il s’agit de la protection des données. Dans ce contexte, la rapporteure a présenté un certain nombre d’amendements visant à rationaliser les deux instruments. Les divergences entre le présent règlement et le règlement général sur la protection des données devraient être dûment justifiées et limitées au minimum.
Au cours des dernières années, sur la question de la relation entre le règlement (CE) nº 45/2001 et le règlement (CE) nº 1049/2001, la Cour de justice de l’Union européenne a constaté, dans plusieurs cas, qu’il est nécessaire de trouver un équilibre entre les deux droits fondamentaux et elle a implicitement demandé au législateur de mieux préciser le lien entre l’article 4 du règlement (CE) nº 1049/2001 et l’article 8 (actuellement l’article 9) du règlement (CE) nº 45/2001. La rapporteure a suivi une approche consistant à introduire dans le texte des éléments de plusieurs affaires judiciaires récentes (Bavarian Lager, Dennekamp, ClientEarth) qui, en substance, définissent les éléments actuels de la jurisprudence de la Cour de justice et visent à préciser certains aspects qui ont été mis en évidence par la Cour et l’avocat général lui-même dans plusieurs jugements.
En ce qui concerne l’exercice des droits de la personne concernée, le règlement général sur la protection des données exige que les éventuelles restrictions à l’exercice de ces droits se fondent sur des actes juridiques. En conséquence, la rapporteure propose de supprimer dans ce cas la possibilité pour les institutions, organes et organismes de l’Union de restreindre l’exercice des droits de la personne concernée par voie de règles internes.
En vertu du règlement (CE) nº 45/2001, le délégué à la protection des données des institutions de l’Union doit tenir un registre des activités de traitement. La rapporteure estime qu’il y a une valeur ajoutée à obliger les institutions, organes, et organismes de l’Union à tenir un registre central des opérations de traitement. Les personnes concernées devraient pouvoir consulter ce registre via le délégué à la protection des données.
Le règlement général sur la protection des données prévoit la possibilité pour les responsables du traitement de démontrer la conformité avec le règlement par l’application de mécanismes de certification ou codes de conduite approuvés. Votre rapporteure estimant que les codes de conduite ne sont pas pertinents pour l’administration publique, elle propose d’insérer les dispositions nécessaires pour les responsables du traitement dans le présent règlement, pour démontrer la conformité par l’application de mécanismes de certification approuvés.
Votre rapporteure juge extrêmement importante la contribution du Contrôleur européen de la protection des données au respect des dispositions du règlement, et a donc conservé la formulation du règlement (CE) nº 45/2001 afin de permettre à la Commission de consulter le CEPD au cours de la phase préparatoire à l’adoption d’une proposition, laissant à la Commission une marge de manœuvre suffisante, respectant ainsi son droit d’initiative. La rapporteure constate que le contrôle indépendant des règles en matière de protection des données est une exigence au titre des traités. En conséquence, tous les organes et institutions, y compris la Cour de justice, devraient faire l’objet d’un contrôle indépendant par le CEPD. Afin de préserver l’indépendance du CEPD, la rapporteure propose de modifier légèrement la procédure de nomination.
La proposition de la Commission comprend des dispositions en matière de confidentialité des communications. La rapporteure estime que, en règle générale, la législation de l’Union en la matière devrait être applicable aux institutions, organes et organismes de l’Union également. Seules des règles supplémentaires tendant à préciser et à compléter le cadre général devraient être insérées dans le texte. Ces règles devraient faire partie d’une section distincte du texte.
Enfin, votre rapporteure se félicite de l’inclusion de la possibilité pour le CEPD d’infliger une amende aux institutions, organes et organismes de l’Union qui ne respectent pas les dispositions strictes du règlement, envoyant ainsi un signal fort aux personnes concernées et prouvant que l’Union est tenue à une obligation morale et juridique aussi élevée que les administrations des États membres.
AVIS de la commission des affaires juridiques (05.10.2017)
à l’intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.
(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))
Rapporteur pour avis: Angel Dzhambazki
JUSTIFICATION SUCCINCTE
Le principe selon lequel toute personne physique a droit à la protection des données à caractère personnel la concernant est consacré par l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (TFUE). L’article 16, paragraphe 2, du TFUE offre une base juridique spécifique pour l’adoption de règles en la matière. L’article 8 de la charte des droits fondamentaux de l’Union européenne érige en outre la protection de ces données en droit fondamental.
Le droit à la protection des données à caractère personnel s’applique au traitement de telles données par les institutions et organes de l’Union. Le règlement (CE) n° 45/2001, principal instrument législatif de l’Union en matière de protection des données à caractère personnel dans les institutions européennes, a été adopté en 2001 dans deux objectifs: protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel au sein de l’Union.
Le Parlement européen et le Conseil ont adopté le 27 avril 2016 le règlement (UE) 2016/697 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Celui-ci s’appliquera à partir du 25 mai 2018. Le règlement général sur la protection des données demande que le règlement (CE) n° 45/2001 soit adapté aux principes et règles fixés par le règlement (UE) 2016/679, dans le double objectif de mettre en place un cadre de protection des données solide et cohérent dans l’Union et de permettre aux deux instruments d’être appliqués en même temps.
Dans sa proposition, la Commission présente les modifications nécessaires pour que le règlement de 2001 soit adapté de façon juste et équilibrée au règlement général sur la protection des données. Sur un point toutefois, la proposition s’écarte de manière infondée du règlement général sur la protection des données, à savoir l’âge de consentement pour les mineurs.
AMENDEMENT
La commission des affaires juridiques invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à prendre en considération les amendements suivants:
Amendement 1 Proposition de règlement Considérant 1 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. |
(1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée la «charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la Convention européenne des droits de l’homme. | ||||||||||||
Amendement 2 Proposition de règlement Considérant 2 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(2) Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil11 donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes de l’Union en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union. |
(2) Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil11 donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes de l’Union en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Le règlement (CE) nº 45/2001 poursuit deux objectifs: protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel au sein de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union. | ||||||||||||
_________________ |
_______________ | ||||||||||||
11 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1). |
11 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1). | ||||||||||||
Amendement 3 Proposition de règlement Considérant 5 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(5) Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions et organes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679. |
(5) Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement se fondent sur la même notion que les dispositions du règlement (UE) 2016/679, les dispositions de ces deux instruments devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne1 bis, être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme équivalent au régime du règlement (UE) 2016/679. | ||||||||||||
|
_________________ | ||||||||||||
|
1 bis Voir l’arrêt de la Cour de justice du mardi 9 mars 2010 dans l’affaire C-518/07, Commission/Allemagne, ECLI:EU:C:2010:125, points 26 et 28. | ||||||||||||
Amendement 4 Proposition de règlement Considérant 10 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(10) Lorsque l’acte fondateur d’une agence de l’Union menant des activités relevant des chapitres 4 et 5 du titre V du traité établit un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel, il convient que ce régime ne soit pas affecté par le présent règlement. Toutefois, conformément à l’article 62 de la directive (UE) 2016/680, la Commission devrait, au plus tard le 6 mai 2019, réexaminer les actes juridiques adoptés par l’Union qui réglementent le traitement par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière. |
(10) Lorsque l’acte fondateur d’une agence de l’Union menant des activités relevant des chapitres 4 et 5 du titre V du traité établit un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel, il convient que ce régime ne soit pas affecté par le présent règlement, pour autant qu’il soit conforme aux dispositions du règlement (UE) 2016/679. Toutefois, conformément à l’article 62 de la directive (UE) 2016/680, la Commission devrait, au plus tard le 6 mai 2019, réexaminer les actes juridiques adoptés par l’Union qui réglementent le traitement par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière. | ||||||||||||
Justification | |||||||||||||
Tout régime de protection des données doit être conforme au règlement général sur la protection des données. | |||||||||||||
Amendement 5 Proposition de règlement Considérant 14 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(14) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. |
(14) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. Toutefois, la personne concernée devrait avoir le droit de retirer son consentement à tout moment, sans porter atteinte à la légalité du traitement fondé sur le consentement effectué avant le retrait de celui-ci. | ||||||||||||
Amendement 6 Proposition de règlement Considérant 18 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(18) Le droit de l’Union incluant les règles internes visées dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme. |
(18) Le droit de l’Union devrait être clair et précis et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme. | ||||||||||||
Amendement 7 Proposition de règlement Considérant 23 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(23) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales. |
(23) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. De telles données à caractère personnel ne devraient pas être traitées à moins que leur traitement ne soit autorisé dans des cas spécifiques indiqués par le présent règlement. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour objet de permettre l’exercice des libertés fondamentales. | ||||||||||||
Amendement 8 Proposition de règlement Considérant 23 bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
(23 bis) Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée devraient être traitées à des fins liées à la santé uniquement lorsqu’il est nécessaire de parvenir à ces fins dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de santé ou d’aide sociale. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, en cas de besoins spécifiques, en particulier lorsque le traitement de ces données est effectué à certaines fins liées à la santé par des personnes soumises à une obligation juridique de secret professionnel. Le droit de l’Union devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. | ||||||||||||
Amendement 9 Proposition de règlement Considérant 24 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(24) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil15 , à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins par des tiers. |
(24) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures proportionnées, appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil15 , à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées ultérieurement à d’autres fins. | ||||||||||||
_________________ |
_________________ | ||||||||||||
15 Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70). |
15 Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70). | ||||||||||||
Justification | |||||||||||||
Les données relatives à la santé sont particulièrement sensibles et leur traitement doit être spécifiquement limité aux cas absolument nécessaires. Il convient en particulier que ces données ne soient pas transférées à des tiers qui pourraient les traiter ultérieurement. | |||||||||||||
Amendement 10 Proposition de règlement Considérant 37– alinéa 1 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, au droit à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. |
Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, à la confidentialité des communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par les actes juridiques adoptés sur la base des traités, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique, la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, y compris la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, pour garantir la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, la tenue de registres publics conservés pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires. | ||||||||||||
Amendement 11 Proposition de règlement Considérant 37– alinéa 2 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Si aucune limitation n’est prévue dans les actes juridiques adoptés sur la base des traités ou des règles internes des institutions et organes de l’Union, ces institutions et ces organes peuvent, dans un cas spécifique, imposer une limitation ad hoc à certains principes spécifiques ainsi qu’aux droits d’une personne concernée si cette limitation respecte l’essence des libertés et droits fondamentaux et, en ce qui concerne l’opération de traitement spécifique, si elle est nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs mentionnés au premier alinéa. La limitation devrait être notifiée au délégué à la protection des données. Il y a lieu que toutes les limitations respectent les exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. |
supprimé | ||||||||||||
Amendement 12 Proposition de règlement Considérant 42 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(42) Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient pouvoir établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient aussi pouvoir rendre ce registre public. |
(42) Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Les institutions et organes de l’Union devraient pouvoir établir un registre centralisant les registres de leurs activités de traitement. Pour des raisons de transparence, ils devraient rendre ce registre public. Les personnes concernées devraient avoir la possibilité de consulter ce registre par l’intermédiaire du délégué à la protection des données du responsable du traitement. | ||||||||||||
Amendement 13 Proposition de règlement Considérant 46 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(46) Afin que la personne concernée puisse prendre les précautions qui s’imposent, il convient que le responsable du traitement lui communique toute violation de données à caractère personnel dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. De telles communications aux personnes concernées devraient être effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec le Contrôleur européen de la protection des données, dans le respect des directives données par celui-ci ou par d’autres autorités compétentes, telles que les autorités répressives. |
(46) Afin que la personne concernée puisse prendre les précautions qui s’imposent, il convient que le responsable du traitement lui communique toute violation de données à caractère personnel dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique. La communication devrait être confidentielle et décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. De telles communications aux personnes concernées devraient être effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec le Contrôleur européen de la protection des données, dans le respect des directives données par celui-ci ou par d’autres autorités compétentes, telles que les autorités répressives. | ||||||||||||
Amendement 14 Proposition de règlement Considérant 52 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(52) Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne devrait pas être compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant. |
(52) Lorsque des données à caractère personnel sont transférées par les institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement devrait être respecté, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement, du règlement (UE) 2016/679 et des droits et libertés fondamentaux consacrés par la charte. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement pour le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant. | ||||||||||||
Amendement 15 Proposition de règlement Considérant 54 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(54) En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l’insuffisance de la protection des données dans un pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des clauses types de protection des données adoptées par la Commission, à des clauses types de protection des données adoptées par le Contrôleur européen de la protection des données ou à des clauses contractuelles autorisées par le Contrôleur européen de la protection des données. Lorsque le sous-traitant n’est ni une institution ni un organe de l’Union, lesdites garanties appropriées peuvent également consister en des règles d’entreprise contraignantes, des codes de conduite et des mécanismes de certification utilisés pour les transferts internationaux conformément au règlement (UE) 2016/79. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée pour le traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et par défaut. Des transferts peuvent également être effectués par des institutions et organes de l’Union vers des autorités publiques ou des organismes publics dans des pays tiers ou vers des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, tels qu’un protocole d’accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L’autorisation du Contrôleur européen de la protection des données devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants. |
supprimé | ||||||||||||
Amendement 16 Proposition de règlement Article 1 – paragraphe 1 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que des règles relatives à la libre circulation des données à caractère personnel entre ces institutions, organes et organismes ou vers des destinataires établis dans l’Union et soumis au règlement (UE) 2016/67918 ou aux dispositions de droit interne adoptées en vertu de la directive (UE) 2016/68019. |
1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que des règles relatives à la libre circulation des données à caractère personnel entre ces institutions, organes et organismes ou vers des destinataires établis dans l’Union. | ||||||||||||
_________________ |
| ||||||||||||
18 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (texte présentant de l’intérêt pour l’EEE) (JO L 119 du 4.5.2016, p. 1). |
| ||||||||||||
19 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89). |
| ||||||||||||
Amendement 17 Proposition de règlement Article 1 – paragraphe 2 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. |
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques consacrés par la charte, et en particulier leur droit à la protection des données à caractère personnel. | ||||||||||||
Amendement 18 Proposition de règlement Article 2 – paragraphe 2 bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
2 bis. Le présent règlement s’applique également aux agences de l’Union menant des activités relevant des chapitres 4 et 5 du titre V de la troisième partie du TFUE, y compris lorsque les actes fondateurs de ces agences établissent un régime autonome de protection des données pour le traitement des données opérationnelles à caractère personnel. Les dispositions du présent règlement prévalent sur les dispositions contradictoires des actes fondateurs de ces agences de l’Union. | ||||||||||||
Amendement 19 Proposition de règlement Article 4 – paragraphe 1 – point d | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); |
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes ou incomplètes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); | ||||||||||||
Amendement 20 Proposition de règlement Article 8 – titre | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information |
(Ne concerne pas la version française.) | ||||||||||||
Justification | |||||||||||||
(Ne concerne pas la version française.) | |||||||||||||
Amendement 21 Proposition de règlement Article 8 – paragraphe 1 | |||||||||||||
| |||||||||||||
Amendement 22 Proposition de règlement Article 9 – titre | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Transmission de données à caractère personnel à des destinataires, autres que les institutions et organes de l’Union, établis dans l’Union et soumis au règlement (UE) 2016/679 ou à la directive (UE) 2016/680 |
Transmission de données à caractère personnel à des destinataires, autres que les institutions et organes de l’Union, établis dans l’Union | ||||||||||||
Amendement 23 Proposition de règlement Article 9 – paragraphe 1 – point b | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
b) que la transmission des données est nécessaire et proportionnée à sa finalité et s’il n’existe aucune raison de penser que cette transmission pourrait porter atteinte aux droits, libertés et intérêts légitimes de la personne concernée. |
b) que la transmission des données est strictement nécessaire au regard des objectifs du destinataire et qu’il n’existe aucune raison de penser que ce transfert, ou l’utilisation ultérieure raisonnablement prévue de ces données à caractère personnel par le destinataire, pourrait porter atteinte aux droits, libertés et intérêts légitimes de la personne concernée. | ||||||||||||
Amendement 24 Proposition de règlement Article 11 – alinéa unique | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, ne peut être effectué que s’il est autorisé par le droit de l’Union, ce qui peut inclure des règles internes, prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées. |
Le traitement de données à caractère personnel relatives à des condamnations et à des infractions pénales ou à des mesures de sûreté connexes, conformément à l’article 5, paragraphe 1, ne peut être effectué que s’il est autorisé par le droit de l’Union prévoyant des garanties spécifiques et appropriées pour les droits et libertés des personnes concernées. | ||||||||||||
Amendement 25 Proposition de règlement Article 16 – paragraphe 5 – point b | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; |
b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation prévue au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles; | ||||||||||||
Amendement 26 Proposition de règlement Article 25 – paragraphe 1 – partie introductive | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
1. Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions ou organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir: |
1. Des actes juridiques adoptés sur la base des traités peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir: | ||||||||||||
Justification | |||||||||||||
L’amendement vise à aligner les dispositions du présent règlement sur celles du règlement général sur la protection des données, conformément à l’avis du Contrôleur européen de la protection des données. | |||||||||||||
Amendement 27 Proposition de règlement Article 25 – paragraphe 1 – point d | |||||||||||||
| |||||||||||||
Amendement 28 Proposition de règlement Article 25 – paragraphe 1 bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
1 bis. En particulier, les actes juridiques visés au paragraphe 1 contiennent des dispositions spécifiques relatives, au moins, le cas échéant: | ||||||||||||
|
a) aux finalités du traitement ou des catégories de traitement; | ||||||||||||
|
b) aux catégories de données à caractère personnel; | ||||||||||||
|
c) à l’étendue des limitations introduites; | ||||||||||||
|
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites; | ||||||||||||
|
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement; | ||||||||||||
|
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement; | ||||||||||||
|
g) aux risques pour les droits et libertés des personnes concernées; et | ||||||||||||
|
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. | ||||||||||||
Amendement 29 Proposition de règlement Article 25 – paragraphe 2 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
2. Lorsqu’aucune limitation n’est prévue par un acte juridique adopté sur la base des traités ou par une règle interne conformément au paragraphe 1, les institutions et organes de l’Union peuvent limiter l’application des articles 14 à 22 et des articles 34 et 38, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux, en lien avec une opération de traitement spécifique, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs énumérés au paragraphe 1. La limitation est notifiée au délégué à la protection des données compétent. |
supprimé | ||||||||||||
Amendement 30 Proposition de règlement Article 25 – paragraphe 3 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
3. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. |
3. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. | ||||||||||||
Amendement 31 Proposition de règlement Article 25 – paragraphe 4 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
4. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union, qui peut inclure les règles internes, peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. |
4. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union peut prévoir des dérogations aux droits prévus aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties énumérées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités. | ||||||||||||
Amendement 32 Proposition de règlement Article 25 – paragraphe 5 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
5. Les règles internes mentionnées aux paragraphes 1, 3 et 4 sont suffisamment claires et précises et font l’objet d’une publication adéquate. |
supprimé | ||||||||||||
Amendement 33 Proposition de règlement Article 25 – paragraphe 6 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
6. Si une limitation est imposée en vertu du paragraphe 1 ou 2, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données. |
6. Si une limitation est imposée en vertu du paragraphe 1, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données. | ||||||||||||
Amendement 34 Proposition de règlement Article 25 – paragraphe 7 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
7. Si une limitation imposée en vertu du paragraphe 1 ou 2 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées. |
7. Si une limitation imposée en vertu du paragraphe 1 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées. | ||||||||||||
Amendement 35 Proposition de règlement Article 25 – paragraphe 8 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
8. La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1 ou 2. |
8. La communication des informations mentionnées aux paragraphes 6 et 7 et à l’article 46, paragraphe 2, peut être différée, omise ou refusée si elle annule l’effet de la limitation imposée en vertu du paragraphe 1. | ||||||||||||
Amendement 36 Proposition de règlement Article 31 – paragraphe 5 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
(5) Les institutions et organes de l’Union peuvent décider de tenir leurs registres des activités de traitement dans un registre central. Dans ce cas, ils peuvent également décider de mettre ce registre à la disposition du public. |
(5) Les institutions et organes de l’Union tiennent leurs registres des activités de traitement dans un registre central. Dans ce cas, ils peuvent également mettre ce registre à la disposition du public, de sorte que les personnes concernées puissent le consulter sans porter atteinte aux droits des autres personnes concernées. | ||||||||||||
Amendement 37 Proposition de règlement Article 31 – paragraphe 5 bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
5 bis. Les personnes concernées ont la possibilité de consulter le registre central mentionné au paragraphe 5 par l’intermédiaire du délégué à la protection des données du responsable du traitement. | ||||||||||||
Amendement 38 Proposition de règlement Article 34 – alinéa unique | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques. |
Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques conformément au règlement (UE) 2017/XXXX. | ||||||||||||
Justification | |||||||||||||
La proposition de législation spécifique relative à la confidentialité des communications électroniques sera le règlement fondé sur la proposition COM(2017)0010 de la Commission, qui devrait donc être mentionnée. | |||||||||||||
Amendement 39 Proposition de règlement Article 36 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
Article 36 |
supprimé | ||||||||||||
Annuaires d’utilisateurs |
| ||||||||||||
1. Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire. |
| ||||||||||||
2. Les institutions et organes de l’Union prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans ces annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe. |
| ||||||||||||
Amendement 40 Proposition de règlement Article 42 – paragraphe 2 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
2. Lorsqu’un acte mentionné au paragraphe 1 revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de données à caractère personnel, la Commission peut également consulter le comité européen de la protection des données. Dans ce cas, le Contrôleur européen de la protection des données et le comité européen de la protection des données coordonnent leurs travaux en vue de formuler un avis conjoint. |
2. Lorsqu’un acte mentionné au paragraphe 1 revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de données à caractère personnel, la Commission consulte également le comité européen de la protection des données. Dans ce cas, le Contrôleur européen de la protection des données et le comité européen de la protection des données coordonnent leurs travaux en vue de formuler un avis conjoint. | ||||||||||||
Amendement 41 Proposition de règlement Article 44 – paragraphe 4 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
4. Le délégué à la protection des données peut être un membre du personnel de l’institution ou de l’organe de l’Union, ou exercer ses missions sur la base d’un contrat de service. |
4. Le délégué à la protection des données est un membre du personnel de l’institution, de l’organe ou de l’organisme de l’Union. | ||||||||||||
Justification | |||||||||||||
L’externalisation de la tâche d’un délégué à la protection des données ne semble pas appropriée pour une institution de l’Union. | |||||||||||||
Amendement 42 Proposition de règlement Article 46 – paragraphe 1 – point b bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
b bis) veiller à ce que le traitement ne porte pas atteinte aux libertés et droits fondamentaux des personnes concernées; | ||||||||||||
Amendement 43 Proposition de règlement Article 48 – paragraphe 1 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement. |
1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a adopté un acte d’exécution, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qui prévoit qu’un niveau de protection adéquat est assuré dans le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale et que ce transfert vise exclusivement à permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. L’acte d’exécution précise également son champ d’application territorial et sectoriel et nomme l’autorité de contrôle. Le chapitre V du règlement (UE) 2016/679 s’applique. | ||||||||||||
Justification | |||||||||||||
Les règles relatives au transfert des données à caractère personnel à des pays tiers ou à des institutions de pays tiers doivent être cohérentes avec les règles pertinentes du règlement général sur la protection des données afin de ne pas créer de vides ou d’incohérences juridiques. L’accent doit être mis en particulier sur le mécanisme d’examen. | |||||||||||||
Amendement 44 Proposition de règlement Article 54 – paragraphe 1 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
1. Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats établie par la Commission est publique. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, peut décider d’organiser une audition de manière à pouvoir émettre une préférence. |
1. Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie conjointement par le Parlement européen, le Conseil et la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permettra à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats est publique et comporte au moins cinq candidats. La commission compétente du Parlement européen peut décider d’organiser une audition des candidats, de manière à pouvoir émettre une préférence. | ||||||||||||
Amendement 45 Proposition de règlement Article 54 – paragraphe 2 | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
2. La liste établie par la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679. |
2. La liste établie conjointement par le Parlement européen, le Conseil et la Commission, à partir de laquelle le Contrôleur européen de la protection des données est choisi, doit être constituée de personnes offrant toutes garanties d’indépendance et qui possèdent des connaissances spécialisées en matière de protection des données ainsi que l’expérience et les compétences requises pour l’accomplissement des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’ils appartiennent ou ont appartenu aux autorités de contrôle instituées en vertu de l’article 41 du règlement (UE) 2016/679. | ||||||||||||
Amendement 46 Proposition de règlement Article 63 – paragraphe 1 bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
1 bis. Lorsque la personne concernée est un enfant, les États membres prévoient des garanties spécifiques, en particulier à l’égard de l’aide juridique. | ||||||||||||
Justification | |||||||||||||
Étant donné que les enfants sont sans doute plus vulnérables que les adultes, des clauses spécifiques de garantie, notamment à l’égard de l’aide juridique, devraient être prévues par les États membres pour garantir les droits des enfants. | |||||||||||||
Amendement 47 Proposition de règlement Chapitre IX bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
Chapitre IX bis | ||||||||||||
|
Article 70 bis | ||||||||||||
|
Clause de réexamen | ||||||||||||
|
1. Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du présent règlement, accompagné, le cas échéant, des propositions législatives appropriées. | ||||||||||||
|
2. L’évaluation ex post prévue au paragraphe 1 accorde une attention particulière à la pertinence du champ d’application du présent règlement et à sa cohérence avec les autres actes législatifs relevant du domaine de la protection des données, et apprécie en particulier la mise en œuvre du chapitre V du présent règlement. | ||||||||||||
|
3. Le 1er juin 2021 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen un rapport sur l’application du chapitre VIII du présent règlement et sur les sanctions appliquées. | ||||||||||||
Justification | |||||||||||||
Mieux légiférer, et en particulier utiliser efficacement les évaluations ex post pour rendre compte de l’intégralité du cycle législatif, implique de suivre avec une attention particulière la transposition, l’application et le respect du droit de l’Union et, de manière plus générale, de surveiller ses incidences, son fonctionnement et son efficacité. Une clause de réexamen exhaustif exigeant une évaluation appropriée de l’application du présent règlement, de son champ d’application et des dérogations de pouvoirs prévues répond à cet objectif, de même que la mise en place d’obligations proportionnées en matière d’établissement de rapports. | |||||||||||||
Amendement 48 Proposition de règlement Article 72 bis (nouveau) | |||||||||||||
Texte proposé par la Commission |
Amendement | ||||||||||||
|
Article 72 bis | ||||||||||||
|
Réexamen des actes juridiques de l’Union | ||||||||||||
|
Le 25 mai 2021 au plus tard, la Commission réexamine d’autres actes juridiques qui réglementent le traitement des données à caractère personnel et qui ont été adoptés en vertu des traités, en particulier par les agences créées en vertu des chapitres 4 et 5 du titre V de la troisième partie du traité FUE, afin d’apprécier la nécessité de mettre ces actes juridiques en conformité avec le présent règlement et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour garantir une approche cohérente de la protection des données à caractère personnel dans le cadre du présent règlement. |
PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS
Titre |
Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et libre circulation de ces données |
||||
Références |
COM(2017)0008 – C8-0008/2017 – 2017/0002(COD) |
||||
Commission compétente au fond Date de l’annonce en séance |
LIBE 3.4.2017 |
|
|
|
|
Avis émis par Date de l’annonce en séance |
JURI 3.4.2017 |
||||
Rapporteur pour avis Date de la nomination |
Angel Dzhambazki 28.2.2017 |
||||
Examen en commission |
13.7.2017 |
7.9.2017 |
|
|
|
Date de l’adoption |
2.10.2017 |
|
|
|
|
Résultat du vote final |
+: –: 0: |
17 0 4 |
|||
Membres présents au moment du vote final |
Max Andersson, Joëlle Bergeron, Marie-Christine Boutonnet, Jean-Marie Cavada, Mary Honeyball, Sylvia-Yvonne Kaufmann, Gilles Lebreton, Jiří Maštálka, Emil Radev, Julia Reda, Evelyn Regner, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka |
||||
Suppléants présents au moment du vote final |
Isabella Adinolfi, Jens Rohde, Virginie Rozière, Tiemo Wölken |
||||
Suppléant (art. 200, par. 2) présent au moment du vote final |
Arne Lietz |
||||
VOTE FINAL PAR APPEL NOMINALEN COMMISSION SAISIE POUR AVIS
17 |
+ |
|
ALDE EFDD PPE S&D VERTS/ALE |
Jean-Marie Cavada, Jens Rohde Joëlle Bergeron Emil Radev, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka Mary Honeyball, Sylvia-Yvonne Kaufmann, Arne Lietz, Evelyn Regner, Virginie Rozière, Tiemo Wölken Max Andersson, Julia Reda |
|
0 |
- |
|
|
|
|
4 |
0 |
|
EFDD ENF GUE/NGL |
Isabella Adinolfi Marie-Christine Boutonnet, Gilles Lebreton Jiri Mastálka |
|
Légende des signes utilisés:
+ : pour
- : contre
0 : abstention
PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND
Titre |
Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et libre circulation de ces données |
||||
Références |
COM(2017)0008 – C8-0008/2017 – 2017/0002(COD) |
||||
Date de la présentation au PE |
12.1.2017 |
|
|
|
|
Commission compétente au fond Date de l’annonce en séance |
LIBE 3.4.2017 |
|
|
|
|
Commissions saisies pour avis Date de l’annonce en séance |
BUDG 3.4.2017 |
JURI 3.4.2017 |
|
|
|
Avis non émis Date de la décision |
BUDG 26.1.2017 |
|
|
|
|
Rapporteure Date de la nomination |
Cornelia Ernst 9.3.2017 |
|
|
|
|
Examen en commission |
30.3.2017 |
21.6.2017 |
28.9.2017 |
12.10.2017 |
|
Date de l’adoption |
12.10.2017 |
|
|
|
|
Résultat du vote final |
+: –: 0: |
45 7 6 |
|||
Membres présents au moment du vote final |
Asim Ahmedov Ademov, Jan Philipp Albrecht, Gerard Batten, Heinz K. Becker, Malin Björk, Michał Boni, Caterina Chinnici, Rachida Dati, Frank Engel, Cornelia Ernst, Laura Ferrara, Raymond Finch, Lorenzo Fontana, Kinga Gál, Ana Gomes, Nathalie Griesbeck, Sylvie Guillaume, Sophia in ‘t Veld, Dietmar Köster, Barbara Kudrycka, Cécile Kashetu Kyenge, Marju Lauristin, Juan Fernando López Aguilar, Monica Macovei, Roberta Metsola, Louis Michel, Claude Moraes, József Nagy, Soraya Post, Judith Sargentini, Birgit Sippel, Branislav Škripek, Csaba Sógor, Traian Ungureanu, Bodil Valero, Marie-Christine Vergiat, Udo Voigt, Kristina Winberg, Tomáš Zdechovský, Auke Zijlstra |
||||
Suppléants présents au moment du vote final |
Carlos Coelho, Ignazio Corrao, Gérard Deprez, Anna Hedh, Marek Jurek, Sylvia-Yvonne Kaufmann, Ska Keller, Andrejs Mamikins, Barbara Spinelli, Anders Primdahl Vistisen, Axel Voss |
||||
Suppléants (art. 200, par. 2) présents au moment du vote final |
Beatriz Becerra Basterrechea, Czesław Hoc, Christelle Lechevalier, Olle Ludvigsson, Maria Noichl, Stanisław Ożóg, José Ignacio Salafranca Sánchez-Neyra |
||||
Date du dépôt |
23.10.2017 |
||||
VOTE FINAL PAR APPEL NOMINALEN COMMISSION COMPÉTENTE AU FOND
45 |
+ |
|
ALDE |
Beatriz Becerra Basterrechea, Gérard Deprez, Nathalie Griesbeck, Sophia in ‘t Veld, Louis Michel |
|
EFDD |
Ignazio Corrao, Laura Ferrara |
|
GUE/NGL |
Malin Björk, Cornelia Ernst, Barbara Spinelli, Marie-Christine Vergiat |
|
PPE |
Asim Ahmedov Ademov, Heinz K. Becker, Michał Boni, Carlos Coelho,Rachida Dati, Frank Engel, Kinga Gál, Barbara Kudrycka, Roberta Metsola, József Nagy, José Ignacio Salafranca Sánchez-Neyra, Csaba Sógor, Traian Ungureanu, Axel Voss, Tomáš Zdechovský |
|
S&D |
Caterina Chinnici, Ana Gomes, Sylvie Guillaume, Anna Hedh, Sylvia-Yvonne Kaufmann, Cécile Kashetu Kyenge, Dietmar Köster, Marju Lauristin, Olle Ludvigsson, Juan Fernando López Aguilar, Andrejs Mamikins, Claude Moraes, Maria Noichl, Soraya Post, Birgit Sippel |
|
VERTS/ALE |
Jan Philipp Albrecht, Ska Keller, Judith Sargentini, Bodil Valero |
|
7 |
- |
|
ECR |
Czesław Hoc, Marek Jurek, Monica Macovei, Stanisław Ożóg, Anders Primdahl Vistisen, Branislav Škripek |
|
ENF |
Auke Zijlstra |
|
6 |
0 |
|
EFDD |
Gerard Batten, Raymond Finch, Kristina Winberg |
|
ENF |
Lorenzo Fontana, Christelle Lechevalier |
|
NI |
Udo Voigt |
|
Légende des signes utilisés:
+ : pour
- : contre
0 : abstention