Index 
 Précédent 
 Suivant 
 Texte intégral 
Procédure : 2012/0010(COD)
Cycle de vie en séance
Cycle relatif au document : A7-0403/2013

Textes déposés :

A7-0403/2013

Débats :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Votes :

PV 12/03/2014 - 8.12
Explications de votes

Textes adoptés :

P7_TA(2014)0219

Textes adoptés
PDF 789kWORD 310k
Mercredi 12 mars 2014 - Strasbourg
Traitement des données à caractère personnel à des fins de prévention de la criminalité ***I
P7_TA(2014)0219A7-0403/2013
Résolution
 Texte consolidé

Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0010),

–  vu l'article 294, paragraphe 2, et l'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7‑0024/2012),

–  vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–  vu les avis motivés soumis par le Bundesrat allemand et le Parlement suédois, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,

–  vu l'avis du Contrôleur européen de la protection des données du 7 mars 2012(1),

–  vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,

–  vu l'article 55 de son règlement,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et l'avis de la commission des affaires juridiques (A7-0403/2013),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

(1)JO C 192 du 30.6.2012, p. 7.


Position du Parlement européen arrêtée en première lecture le 12 mars 2014 en vue de l’adoption de la directive 2014/.../UE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
P7_TC1-COD(2012)0010

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Contrôleur européen de la protection des données(1),

statuant conformément à la procédure législative ordinaire(2),

considérant ce qui suit:

(1)  La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée « charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. L'article 8, paragraphe 2, de la charte dispose que ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. [Am. 1]

(2)  Le traitement des données à caractère personnel est au service de l’homme; les principes et les règles régissant la protection des personnes physiques à l'égard du traitement des données les concernant devraient , quelle que soit la nationalité ou la résidence de ces personnes, respecter leurs libertés et leurs droits fondamentaux, notamment le droit à la protection des données à caractère personnel. Le traitement des données devrait contribuer à la réalisation d'un espace de liberté, de sécurité et de justice.

(3)  La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent aux autorités compétentes d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités.

(4)  Cette évolution exige de faciliter la libre circulation des données, lorsque celle-ci est nécessaire et proportionnée, entre les autorités compétentes au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. Ces évolutions obligent à mettre en place dans l’Union un cadre de protection des données solide et plus cohérent, assorti d'une application rigoureuse des règles. [Am. 2]

(5)  La directive 95/46/CE du Parlement européen et du Conseil(3) s'applique à l'ensemble des activités de traitement des données à caractère personnel dans les États membres, à la fois dans les secteurs public et privé. Elle ne s'applique cependant pas au traitement de données à caractère personnel mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que les activités dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

(6)  La décision-cadre 2008/977/JAI du Conseil(4) s'applique dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière. Son champ d'application se borne au traitement des données à caractère personnel qui sont transmises ou mises à disposition entre les États membres.

(7)  Il est crucial d'assurer un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, doit être équivalent dans tous les États membres. Il convient d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer les droits des personnes concernées et les obligations de ceux qui traitent ces données, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel. [Am. 3]

(8)  L’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne prévoit que le Parlement européen et le Conseil fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que les règles relatives à la libre circulation de leurs ces données à caractère personnel. [Am. 4]

(9)  Sur cette base, le règlement (UE) n° …../2014 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) définit des règles générales visant à protéger les personnes physiques à l'égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l'Union.

(10)  Dans la déclaration 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l'acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la Conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation de ces données dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l'article 16 du traité sur le fonctionnement de l'Union européenne pourraient s'avérer nécessaires en raison de la nature spécifique de ces domaines.

(11)  Par conséquent, une directive distincte spécifique devrait permettre de répondre à la nature spécifique de ces domaines et de fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales. [Am. 5]

(12)  Afin d'assurer le même niveau de protection pour les personnes physiques au moyen de droits juridiquement protégés à travers l'Union et d'éviter que des différences n'entravent les échanges de données à caractère personnel entre les autorités compétentes, la présente directive devrait prévoir des règles harmonisées pour la protection et la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

(13)  La présente directive permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents officiels.

(14)  La protection conférée par la présente directive devrait concerner les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, dans le cadre du traitement des données à caractère personnel.

(15)  La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application de la présente directive. La présente directive ne devrait pas s'appliquer au traitement de données à caractère personnel s’inscrivant dans le cadre d’activités ne relevant pas du champ d'application du droit de l'Union, notamment celles relatives à la sûreté de l’État, ni à celui effectué par les institutions, organes, et organismes de l'Union, tels qu’Europol ou Eurojust. Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil(5) ainsi que les instruments juridiques spécifiques applicables aux agences, organes ou bureaux de l'Union devraient être alignés sur la présente directive et appliqués conformément à celle-ci. [Am. 6]

(16)  Il y a lieu d'appliquer les principes de protection à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou distinguer ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable. La présente directive ne devrait pas s'appliquer aux données anonymes, à savoir toute donnée qui ne peut être reliée, directement ou indirectement, seule ou en association avec des données connexes, à une personne physique. Compte tenu de l'importance des évolutions en cours dans le cadre de la société de l'information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données de localisation concernant des personnes physiques, qui peuvent être utilisées pour différentes finalités dont la surveillance ou la création de profils, la présente directive devrait s'appliquer aux traitements portant sur de telles données à caractère personnel. [Am. 7]

(16 bis)  Tout traitement de données à caractère personnel doit être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement des données devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées. Cela exige notamment de limiter les données collectées et leur durée de conservation au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin de s’assurer que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique. [Am. 8]

(17)  Les données à caractère personnel concernant la santé devraient comprendre, en particulier, l'ensemble des données se rapportant à l'état de santé d'une personne concernée; les informations relatives à l'enregistrement du patient pour la prestation de services de santé; les informations relatives aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales; toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient; des informations obtenues lors d'un contrôle ou de l'examen d'un organe ou d'une substance corporelle y compris des échantillons biologiques; l'identification d'une personne en tant que prestataire de soins de santé au patient; ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de la source, provenant par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostique in vitro.

(18)  Tout traitement de données à caractère personnel devrait être loyal et licite à l'égard des personnes concernées. En particulier, les finalités spécifiques du traitement devraient être explicites. [Am. 9]

(19)  Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de conserver et de traiter des données à caractère personnel, collectées dans le contexte de la prévention et de la détection d’infractions pénales spécifiques, et des enquêtes et poursuites en la matière et, au‑delà de ce contexte, pour acquérir une meilleure compréhension des phénomènes criminels et des tendances qui les caractérisent, recueillir des renseignements sur les réseaux criminels organisés et établir des liens entre les différentes infractions mises au jour. [Am. 10]

(20)  Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Les données à caractère personnel traitées devraient être adéquates, pertinentes et non excessives au regard des finalités du traitement. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. [Am. 11]

(20 bis)  Le simple fait que deux finalités se rapportent toutes deux à la prévention et à la détection des infractions pénales, ou aux enquêtes et aux poursuites en la matière, ou à l'exécution de sanctions pénales, ne signifie pas nécessairement que ces finalités sont compatibles. Cependant, dans certains cas, un traitement ultérieur servant des finalités incompatibles devrait être possible si cela s'avère nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, ou à la prévention d'une menace grave et immédiate pour la sécurité publique. Les États membres devraient dès lors pouvoir adopter une législation nationale prévoyant de telles dérogations, dans la mesure strictement nécessaire. Cette législation nationale devrait contenir des garanties adéquates. [Am. 12]

(21)  Il conviendrait d'appliquer le principe d'exactitude des données en tenant compte de la nature et de la finalité du traitement concerné. Dans le cadre des procédures judiciaires, notamment, les déclarations contenant des données à caractère personnel sont fondées sur des perceptions personnelles subjectives et, dans certains cas, ne sont pas toujours vérifiables. En conséquence, l’exigence d’exactitude ne devrait pas porter sur l'exactitude de la déclaration elle‑même mais simplement sur le fait qu'une déclaration spécifique a été faite.

(22)  Dans l'interprétation et l'application des principes généraux relatifs au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, il convient de tenir compte des particularités du domaine, y compris des objectifs spécifiques poursuivis. [Am. 13]

(23)  Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes. Il importe donc d’établir une distinction aussi claire que possible entre les données à caractère personnel concernant différentes catégories de personnes, telles que les suspects, les personnes reconnues coupables d'une infraction pénale, les victimes et les tiers, tels que les témoins, les personnes détenant des informations ou des contacts utiles, et les complices de personnes soupçonnées ou condamnées. Des règles spécifiques sur les conséquences de cette catégorisation devraient être prévues par les États membres, en tenant compte des différentes finalités pour lesquelles les données sont collectées et en prévoyant des garanties spécifiques pour les personnes qui ne sont pas soupçonnées d'avoir commis ou qui n'ont pas été reconnues coupables d'avoir commis une infraction pénale. [Am. 14]

(24)  Il convient, dans la mesure du possible, de différencier les données à caractère personnel en fonction de leur degré d'exactitude et de fiabilité. Il y a lieu de distinguer les faits des appréciations personnelles, afin de garantir à la fois la protection des personnes physiques et la qualité et la fiabilité des informations traitées par les autorités compétentes.

(25)  Pour être licite, le traitement des données à caractère personnel devrait seulement être autorisé lorsqu'il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à l'exécution d'une mission d'intérêt général par une autorité compétente, fondée sur le droit , à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, ou à la prévention d'une menace grave et immédiate pour la sécurité publique de l'Union ou d’un État membre qui devrait contenir des dispositions explicites et détaillées du moins en ce qui concerne les objectifs, les données à caractère personnel, les finalités et moyens précis, désigner le responsable du traitement ou en autoriser la désignation, préciser les procédures à suivre, l'utilisation et les limitations applicables à l’étendue de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement. [Am. 15]

(25 bis)  Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Le traitement ultérieur par des autorités compétentes à des fins relevant du champ d'application de la présente directive qui ne sont pas compatibles avec la finalité initiale ne devrait être autorisé que dans des cas spécifiques dans lesquels ce traitement est nécessaire au respect d'une obligation légale prévue par le droit de l'Union ou d'un État membre auquel le responsable du traitement est soumis, ou pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne, ou pour prévenir une menace grave et immédiate pour la sécurité publique. Le fait que des données soient traitées à des fins répressives n'implique pas nécessairement que cette finalité est compatible avec la finalité initiale. La notion de compatibilité d'utilisation doit être interprétée de manière restrictive. [Am. 16]

(25 ter)  Il convient de mettre un terme à tout traitement de données à caractère personnel contraire aux dispositions nationales adoptées en vertu de la présente directive. [Am. 17]

(26)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée, notamment les données génétiques, méritent une protection spécifique. Ces données ne devraient pas faire l’objet d’un traitement, à moins que celuicelui-ci ne soit spécifiquement autorisé par une loi nécessaire à l'exécution d'une mission effectuée dans l'intérêt général, fondée sur le droit de l'Union ou d'un État membre prévoyant des mesures appropriées de sauvegarde des droits fondamentaux et intérêts légitimes de la personne concernée; qu’il ne soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou qu'il ne porte sur des données manifestement rendues publiques par la personne concernée. Les données à caractère personnel sensibles ne devraient faire l'objet d'un traitement que si elles complètent d'autres données à caractère personnel déjà traitées à des fins répressives. Toute dérogation à l'interdiction du traitement de données sensibles devrait être interprétée de façon restrictive et ne pas entraîner de traitement fréquent, massif ou structurel de données à caractère personnel sensibles. [Am. 18]

(26 bis)  Le traitement de données génétiques ne devrait être autorisé qu'en cas de lien génétique mis au jour dans le cadre d'une enquête criminelle ou d'une procédure judiciaire. Les données génétiques ne devraient être conservées que pendant la durée strictement nécessaire aux fins de telles enquêtes ou procédures, étant entendu que les États membres peuvent prévoir des durées de conservation plus longues selon les conditions énoncées par la présente directive. [Am. 19]

(27)  Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée exclusivement sur un sur un profilage partiel ou total par traitement automatisé si cette dernière. Un tel traitement qui produit des effets juridiques défavorables pour la personne concernée, ou l'affecte de façon significative, devrait être interdit, à moins que la mesure qu'il ne soit autorisée autorisé par la loi et subordonnée subordonné à des mesures appropriées de sauvegarde des droits fondamentaux et des intérêts légitimes de la personne concernée, y compris le droit d'obtenir des informations pertinentes sur la logique sous-tendant le profilage. Ce traitement ne devrait en aucun cas contenir, produire ou discriminer des données sur la base de catégories particulières de données. [Am. 20]

(28)  Afin de permettre aux personnes concernées d’exercer leurs droits, toute information leur étant destinée devrait être aisément accessible et facile à comprendre, et notamment formulée en termes simples et clairs.Ces informations devraient être adaptées aux besoins des personnes concernées, en particulier lorsqu'une information est adressée spécifiquement à un enfant. [Am. 21]

(29)  Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par la présente directive, notamment les moyens de demander sans frais l'accès aux données, leur rectification ou leur effacement. Le responsable du traitement devrait être tenu de répondre aux demandes de la personne concernée sans retard indu et dans un délai d'un mois à compter de la réception de la demande. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement devrait fournir les moyens d'effectuer des demandes par voie électronique. [Am. 22]

(30)  Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de sa base juridique, de la durée pendant laquelle les données seront conservées, de l’existence d’un droit d’accès, de rectification ou d’effacement, ainsi que de son droit d'introduire une réclamation. La personne concernée devrait en outre être informée de l'éventuelle occurrence d'un profilage et de ses conséquences escomptées. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle‑ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. [Am. 23]

(31)  L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, au moment de leur enregistrement ou dans un délai raisonnable, après la collecte, eu égard aux circonstances particulières du traitement.

(32)  Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la base juridique, la durée de la conservation des données, ainsi que l'identité des destinataires des données, y compris dans des pays tiers, des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé et l'importance et les conséquences envisagées de ce traitement, le cas échéant, et au droit d'introduire une réclamation auprès de l'autorité de contrôle ainsi que les coordonnées de cette dernière. Les personnes concernées devraient pouvoir obtenir une copie de leurs données à caractère personnelfaisant l’objet d’un traitement. [Am. 24]

(33)  Les États membres devraient être autorisés à adopter des mesures législatives visant à retarder ou à limiter l'information des personnes concernées ou leur accès aux données à caractère personnel les concernant, ou à ne pas leur accorder cette information ou cet accès, dans la mesure où et aussi longtemps qu'une telle limitation partielle ou complète représente une mesure nécessaire et proportionnée dans une société démocratique, compte dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée, afin d'éviter que des recherches, enquêtes ou procédures officielles ou légales ne soient entravées, d'éviter de nuire à la prévention et à la détection des infractions pénales, aux enquêtes et poursuites en la matière, ou à l'exécution de sanctions pénales, ou afin de protéger la sécurité publique ou la sûreté de l’État, ou de protéger la personne concernée ou les droits et libertés d'autrui. Le responsable du traitement devrait évaluer s’il convient d’appliquer une limitation partielle ou complète d’accès en procédant à un examen concret et individuel dans chaque cas. [Am. 25]

(34)  Tout refus d'accès ou toute limitation de celui‑ci devrait être présenté par écrit à la personne concernée, en indiquant les motifs factuels ou juridiques sur lesquels la décision est fondée.

(34 bis)  Toute limitation des droits de la personne concernée doit être conforme à la charte et à la convention européenne des droits de l'homme, telles qu'elles ont été interprétées par la Cour de justice de l'Union européenne et par la Cour européenne des droits de l'homme dans leur jurisprudence, et notamment respecter le contenu essentiel des droits et libertés. [Am. 26]

(35)  Lorsqu’un État membre a adopté des mesures législatives limitant entièrement ou partiellement le droit d'accès, la personne concernée devrait avoir le droit de demander à l'autorité de contrôle nationale compétente de vérifier la licéité du traitement. La personne concernée devrait être informée de ce droit. Lorsque le droit d'accès est exercé par l'autorité de contrôle au nom de la personne concernée, l’autorité de contrôle devrait au moins informer cette dernière que toutes les vérifications nécessaires ont été effectuées et de sa conclusion concernant la licéité du traitement en question. L'autorité de contrôle devrait également informer la personne concernée de son droit de former un recours juridictionnel. [Am. 27]

(36)  Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel inexactes ou ayant fait l'objet d'un traitement illicite la concernant, et disposer d'un droit d’effacement lorsque le traitement de ces données n'est pas conforme aux principes généraux énoncés dispositions de la présente directive. Cette rectification, ce complément ou cet effacement devraient être communiqués aux destinataires auxquels les données ont été communiquées et aux tiers à l'origine des données inexactes. Les responsables du traitement devraient également cesser de diffuser ces données. Lorsque les données à caractère personnel sont traitées dans le cadre d’une enquête judiciaire ou d’une procédure pénale, le droit à l'information, le droit d'accès, de rectification et d'effacement, et le droit de limitation du traitement peuvent être exercés conformément aux règles nationales de procédure pénale. [Am. 28]

(37)  Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui‑même ou qui est réalisé pour son compte. En particulier, le responsable du traitement devrait veiller à la conformité des opérations de chaque opération de traitement avec les règles adoptées en vertu de la présente directive et être tenu de pouvoir en apporter la preuve. [Am. 29]

(38)  La protection des droits et libertés des personnes concernées à l’égard du traitement des données à caractère personnel les concernant exige l’adoption de mesures techniques et organisationnelles appropriées, afin de satisfaire aux exigences prévues par la présente directive. Afin de garantir la conformité du traitement avec les dispositions adoptées en application de la présente directive, le responsable du traitement devrait adopter des règles internes et mettre en œuvre les mesures appropriées, respectant notamment les principes de protection des données dès la conception et de protection des données par défaut.

(39)  La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, exige une répartition claire des responsabilités au titre de la présente directive, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. La personne concernée devrait avoir le droit d'exercer ses droits au titre de la présente directive à l'égard et à l'encontre de chacun des responsables conjoints du traitement. [Am. 30]

(40)  Les activités de traitement devraient être documentées par le responsable du traitement ou le sous‑traitant, afin de permettre un contrôle de la conformité du traitement avec la présente directive. Chaque responsable du traitement et sous‑traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre cette documentation à sa disposition sur demande pour qu'elles servent au contrôle des opérations de traitement .

(40 bis)  Un relevé de chaque opération de traitement de données à caractère personnel devrait être établi afin de permettre la vérification de la licéité du traitement des données, l’autocontrôle et de garantir l'intégrité et la sécurité des données. Ces relevés devraient être mis à la disposition de l'autorité de contrôle sur demande pour servir au contrôle du respect des dispositions de la présente directive. [Am. 31]

(40 ter)  Lorsqu'un traitement est, du fait de sa nature, de sa portée ou de ses finalités, susceptible de présenter des risques particuliers pour les droits et les libertés des personnes concernées, le responsable du traitement ou le sous-traitant devrait effectuer une analyse d'impact relative à la protection des données portant notamment sur les mesures envisagées, les garanties et les mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec la présente directive. Les analyses d'impact devraient porter sur les systèmes et processus pertinents des opérations de traitement de données à caractère personnel, et non sur des cas individuels. [Am. 32]

(41)  Afin de garantir, au moyen d’actions préventives, une protection effective des droits et libertés des personnes concernées, le responsable du traitement ou le sous‑traitant devrait, dans certains cas, consulter l’autorité de contrôle avant d’entamer le traitement. De plus, lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement sont susceptibles d'exposer les droits et libertés des personnes concernées à un degré élevé de risques particuliers, l'autorité de contrôle devrait être en mesure d'empêcher, avant le début de l'opération, un traitement risqué non conforme à la présente directive, et de formuler des propositions visant à remédier à une telle situation. Cette consultation peut également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur une telle mesure législative définissant la nature du traitement et instaurant les garanties appropriées. [Am. 33]

(41 bis)  Afin de préserver la sécurité et de prévenir tout traitement contraire à la présente directive, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en oeuvre des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, des techniques les plus récentes et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Il convient de promouvoir la neutralité technologique lors de l'établissement de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement. [Am. 34]

(42)  Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer un dommage une grave perte économique et des dommages sociaux importants, notamment une atteinte à la réputation de usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu’une telle violation s’est produite, il convient qu'il la notifie à l’autorité nationale compétente. Les personnes physiques dont les données à caractère personnel ou la vie privée pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de leur permettre de prendre les précautions qui s’imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne physique lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation, consécutifs au traitement des données à caractère personnel. La notification devrait comporter des informations sur les mesures prises par le fournisseur pour remédier à cette violation, ainsi que des recommandations à l'intention de l'abonné ou de la personne concernée. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des orientations fournies par celle-ci. [Am. 35]

(43)  Lors de la fixation des règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d’abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités compétentes dans les cas où une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances de la violation.

(44)  Le responsable du traitement ou le sous‑traitant devrait désigner une personne chargée de l'aider à contrôler et à démontrer la bonne application des dispositions adoptées en vertu de la présente directive. Un Lorsque plusieurs autorités compétentes agissent sous le contrôle d'une autorité centrale, il devrait incomber au moins à cette autorité centrale de désigner ce délégué à la protection des données peut être désigné conjointement par plusieurs entités de l'autorité compétente. Les délégués à la protection des données doivent être en mesure d'accomplir leurs missions et obligations de manière effective et en toute indépendance, en particulier en fixant des règles évitant les conflits d'intérêts avec d'autres missions que ces délégués accomplissent. [Am. 36]

(45)  Les États membres devraient veiller à ce qu'un transfert vers un pays tiers n'ait lieu que s'il si ce transfert spécifique est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, et si le responsable du traitement dans le pays tiers ou dans l'organisation internationale est une autorité publique compétente au sens de la présente directive. Un transfert peut avoir lieu lorsque la Commission a décidé que le pays tiers ou l'organisation internationale en question garantit un niveau adéquat de protection, ou lorsque des garanties appropriées ont été offertes, ou lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant. Les données transférées aux autorités publiques compétentes dans les pays tiers ne devraient pas faire l'objet d'un traitement ultérieur pour d'autres finalités que celle pour laquelle elles ont été transférées. [Am. 37]

(45 bis)  Un transfert ultérieur par les autorités compétentes des pays tiers ou des organisations internationales auxquels des données à caractère personnel ont été transférées ne devrait être autorisé que si ce transfert ultérieur est nécessaire pour la même finalité spécifique que celle du transfert initial, et si le deuxième destinataire est également une autorité publique compétente. Les transferts ultérieurs à des fins d'application générale de la loi ne devraient pas être autorisés. L'autorité compétente qui a procédé au transfert initial devrait avoir donné son accord au transfert ultérieur. [Am. 38]

(46)  La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau adéquat de protection des données, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union en ce qui concerne les pays tiers ou les organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation.

(47)  Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait prendre en considération la manière dont ce pays tiers respecte l'état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme.

(48)  La Commission devrait également pouvoir constater qu’un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit, sauf lorsqu'il est fondé sur une convention internationale, des garanties appropriées ou une dérogation. Il y aurait lieu de prévoir des procédures de consultation entre la Commission et le pays tiers ou l'organisation internationale. Cependant, une telle décision de la Commission s’entend sans préjudice de la possibilité d'effectuer des transferts sur le fondement de garanties appropriées au moyen d'instruments juridiquement contraignants ou d'une dérogation prévue par la directive. [Am. 39]

(49)  Les transferts qui ne sont pas fondés sur une décision relative au caractère adéquat du niveau de protection ne devraient être autorisés que lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant, assurant la protection des données à caractère personnel, ou lorsque le responsable du traitement ou le sous‑traitant a évalué toutes les circonstances entourant le transfert ou la série de transferts de données et estime, au vu de cette évaluation, qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel. Lorsqu'il n'y a pas de motif d'autoriser le transfert, des dérogations devraient être permises si elles sont nécessaires à la sauvegarde des intérêt vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, si le droit de l'État membre qui transfère les données à caractère personnel le prévoit, ou si les dérogations sont indispensables à la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, ou, dans certains cas, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, ou, dans des cas particuliers, à la constatation, l'exercice ou la défense d'un droit en justice. [Am. 40]

(49 bis)  Lorsqu'il n'y a pas de motif d'autoriser le transfert, des dérogations devraient être permises si elles sont nécessaires à la protection des intérêts vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, si le droit de l'État membre qui transfère les données à caractère personnel le prévoit, ou si les dérogations sont indispensables à la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, ou, dans des cas particuliers, à des fins de prévention et de détection des infractions pénales, d'enquête et de poursuites en la matière, ou d'exécution de sanctions pénales, ou, dans des cas particuliers, à la constatation, l'exercice ou la défense d'un droit en justice. Ces dérogations devraient être interprétées de manière restrictive et ne devraient pas permettre un transfert fréquent, massif et structurel de données à caractère personnel ni un transfert global de données qui devrait être limité aux données strictement nécessaires. De plus, la décision de transfert devrait être prise par une personne dûment autorisée et le transfert doit être documenté et devrait être mis à la disposition de l'autorité de contrôle sur demande à des fins de vérification de la licéité du transfert. [Am. 41]

(50)  Lorsque des données à caractère personnel franchissent les frontières, elles accroissent le risque que les personnes physiques ne puissent exercer leur droit à la protection des données pour se protéger de l’utilisation ou la divulgation illicite de ces dernières. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontière peuvent également être freinés par les pouvoirs de prévention ou de réparation insuffisants dont elles disposent ou par l'hétérogénéité des régimes juridiques. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle chargées de la protection des données, afin qu'elles puissent échanger des informations avec leurs homologues étrangers.

(51)  L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Il appartiendrait aux autorités de contrôle de surveiller l'application des dispositions de la présente directive et de contribuer à ce que cette application soit uniforme dans l'ensemble de l'Union, pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel. À cet effet, il convient que les autorités de contrôle coopèrent entre elles et avec la Commission. [Am. 42]

(52)  Les États membres peuvent confier à une autorité de contrôle déjà créée dans les États membres u titre du règlement (UE) n° …./2014 la responsabilité des missions qui incombent aux autorités nationales de contrôle à instituer au titre de la présente directive.

(53)  Les États membres devraient avoir la possibilité d'instituer plusieurs autorités de contrôle pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Il convient que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains appropriés, ainsi que des locaux et des infrastructures, y compris des capacités techniques, de l'expérience et des qualifications, nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. [Am. 43]

(54)  Les conditions générales applicables aux membres de l’autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernementde l’État membre, sur la base d'une consultation du parlement, et comprendre des dispositions régissant la qualification et la fonction de ces membres. [Am. 44]

(55)  Bien que la présente directive s'applique également aux activités des juridictions nationales, la compétence des autorités de contrôle ne devrait pas s'étendre aux traitements de données à caractère personnel effectués par les juridictions dans le cadre de leur fonction juridictionnelle, afin de préserver l'indépendance des juges dans l'exercice de leurs fonctions judiciaires. Il convient toutefois que cette exception soit limitée aux activités purement judiciaires intervenant dans le cadre d'affaires portées devant les juridictions et qu'elle ne s'applique pas aux autres activités auxquelles les juges pourraient être associés en vertu du droit national.

(56)  Afin d'assurer la cohérence du contrôle et de l'application de la présente directive dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont des pouvoirs d'enquête, effectifs, le droit d'accéder à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de chaque fonction de surveillance, le droit d'accéder à tous les locaux des responsables du traitement ou des sous-traitants, y compris à toute installation de traitement des données, des pouvoirs d'intervention juridiquement contraignante, de décision et de sanction, en particulier en cas de réclamation introduite par des personnes physiques, et le pouvoir d'ester en justice. [Am. 45]

(57)  Chaque autorité devrait recevoir les réclamations des personnes concernées et examiner les affaires en question. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée.

(58)  Les autorités de contrôle devraient se prêter mutuellement assistance dans l’exercice de leurs fonctions, afin d'assurer une application et une exécution cohérentes des dispositions adoptées en vertu de la présente directive. Chaque autorité de contrôle devrait être disposée à participer à des opérations conjointes. L'autorité de contrôle requise devrait être tenue de répondre à la demande dans un délai déterminé. [Am. 46]

(59)  Le comité européen de la protection des données institué par le règlement (UE) …/20122014 devrait contribuer à l'application cohérente de la présente directive dans toute l'Union, notamment en conseillant la Commission et les institutions de l'Union, en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, et donner son avis à la Commission dans le cadre de l'élaboration des actes délégués et des actes d'exécution fondés sur la présente directive. [Am. 47]

(60)  Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours si elle estime que les droits que lui confère la présente directive ne sont pas respectés, si l’autorité de contrôle ne donne pas suite à une réclamation ou si elle n’agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée.

(61)  Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données les concernant et qui est qui agit dans l'intérêt général et qui est constitué conformément au droit d’un État membre devrait avoir le droit d'introduire une réclamation ou d'exercer le droit de recours pour le compte de personnes concernées l'ayant mandaté à cet effet, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel a été commise. [Am. 48]

(62)  Toute personne physique ou morale devrait disposer d'un droit de recours contre les décisions d'une autorité de contrôle qui la concernent. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.

(63)  Les États membres devraient veiller à ce que les actions en justice, pour être efficaces, permettent l'adoption rapide de mesures visant à réparer ou à prévenir une violation de la présente directive.

(64)  Tout dommage, y compris les dommages non pécuniaires, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous‑traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. [Am. 49]

(65)  Toute personne physique ou morale, soumise au droit privé ou au droit public, qui ne respecte pas la présente directive devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application.

(65 bis)  La transmission de données à caractère personnel à d'autres autorités ou à des tiers privés dans l'Union est interdite sauf si celle-ci est conforme à la législation et que le destinataire est établi dans un État membre et qu'aucun intérêt spécifique légitime de la personne concernée n'empêche la transmission, et que la transmission est nécessaire, dans un cas particulier, pour le responsable du traitement qui transmet les données à caractère personnel, soit pour exécuter une tâche qui lui a été légalement assignée, soit pour prévenir un danger grave et immédiat pour la sécurité publique, soit encore pour prévenir une atteinte grave aux droits des personnes. Le responsable du traitement devrait informer le destinataire de la finalité du traitement et l'autorité de contrôle de la transmission. Il convient également de veiller à ce que le destinataire soit informé des limitations du traitement et de garantir le respect de ces limitations. [Am. 50]

(66)  Afin de réaliser les objectifs de la présente directive, à savoir la protection des libertés et droits fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir le libre échange de ces dernières par les autorités compétentes au sein de l’Union, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l'Union européenne. En particulier, des actes délégués devraient être adoptés en ce qui concerne la notification des violations de données à caractère personnel à l'autorité de contrôle pour préciser davantage les critères et conditions des opérations de traitement nécessitant une analyse d'impact relative à la protection des données ; les critères et exigences en cas de violations de données et en ce qui concerne le niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, en particulier avec le comité européen de la protection des données. Il convient que, lorsqu’elle prépare et élabore des actes délégués, la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil. [Am. 51]

(67)  Afin d’assurer des conditions uniformes d’exécution de la présente directive en ce qui concerne la documentation tenue par les responsables du traitement et les sous‑traitants, la sécurité du traitement, notamment en matière de normes de cryptage, et la notification d'une violation des données à caractère personnel à l'autorité de contrôle, et le niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(6). [Am. 52]

(68)  Il convient d’avoir recours à la procédure d'examen pour l'adoption de mesures relatives à la documentation tenue par les responsables du traitement et les sous‑traitants, à la sécurité du traitement, et à la notification d'une violation des données à caractère personnel à l'autorité de contrôle, et au niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale, puisque ces actes sont de portée générale. [Am. 53]

(69)  La Commission devrait adopter des actes d’exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, un territoire ou secteur de traitement des données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, des raisons d’urgence impérieuses l’exigent. [Am. 54]

(70)  Étant donné que les objectifs de la présente directive, à savoir protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnelles, et garantir le libre échange de ces dernières par les autorités compétentes au sein de l’Union, ne peuvent pas être atteints de manière suffisante par les États membres et mais peuvent , en raison des dimensions ou des effets de l'action, l’être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif, ces objectifs. Les États membres peuvent prévoir des normes plus élevées que celles établies par la présente directive. [Am. 55]

(71)  La décision‑cadre 2008/977/JAI devrait être abrogée par la présente directive.

(72)  Les dispositions spécifiques concernant le traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales, mentionnées dans des actes de l'Union adoptés avant la date d'adoption de la présente directive, qui régissent le traitement de données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, devraient demeurent inchangées. La Étant donné que l'article 8 de la charte et l'article 16 du traité sur le fonctionnement de l'Union européenne impliquent que le droit fondamental à la protection des données à caractère personnel devrait être garanti de manière systématique et homogène dans l'ensemble de l'Union, la Commission devrait évaluer, dans les deux ans suivant la date d’entrée en vigueur de la présente directive, la situation en ce qui concerne la relation entre la présente directive et les actes adoptés avant la date de son adoption, qui régissent le traitement des données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, afin d'apprécier la nécessité de mettre ces dispositions spécifiques en conformité avec et devrait présenter des propositions adéquates en vue d'assurer la cohérence et l'homogénéité des règles juridiques relatives au traitement des données à caractère personnel par les autorités compétentes ou à l'accès des autorités désignées des États membres aux systèmes d'information créés en vertu des traités ainsi qu'au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales relevant du champ d’application de la présente directive. [Am. 56]

(73)  Afin d'assurer une protection exhaustive et cohérente des données à caractère personnel dans l'Union, il convient de modifier les conventions et accords internationaux conclus par l'Union ou par les États membres avant l'entrée en vigueur de la présente directive, pour les harmoniser avec cette dernière. [Am. 57]

(74)  La présente directive est sans préjudice des dispositions relatives à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie, prévues dans la directive 2011/93/UE du Parlement européen et du Conseil(7).

(75)  Conformément à l'article 6 bis du protocole n° 21 sur la position du Royaume‑Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Royaume‑Uni et l'Irlande ne sont pas liés par les règles fixées dans la présente directive lorsque le Royaume-Uni et l'Irlande ne sont pas liés par les règles qui régissent des formes de coopération judiciaire en matière pénale ou de coopération policière dans le cadre desquelles les dispositions fixées sur la base de l'article 16 du traité sur le fonctionnement de l'Union européenne doivent être respectées.

(76)  Conformément aux articles 2 et 2 bis du protocole n° 22 sur la position du Danemark, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark n'est pas lié par la présente directive ni soumis à son application. Étant donné que la présente directive développe l'acquis de Schengen, en vertu du titre V de la troisième partie du traité sur le fonctionnement de l'Union européenne, le Danemark décidera, conformément à l'article 4 dudit protocole, dans un délai de six mois après l'adoption de la présente directive, s'il transposera celle‑ci dans son droit national. [Am. 58]

(77)  En ce qui concerne l’Islande et la Norvège, la présente directive constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(8).

(78)  En ce qui concerne la Suisse, la présente directive constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(9).

(79)  En ce qui concerne le Liechtenstein, la présente directive constitue un développement des dispositions de l'acquis de Schengen au sens du protocole signé entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(10).

(80)  La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte, consacrés par le traité, et notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à un procès équitable. Les limitations apportées à ces droits sont conformes à l'article 52, paragraphe 1, de la charte car elles sont nécessaires pour répondre à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui.

(81)  Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs(11), les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d'une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée.

(82)  La présente directive ne saurait empêcher les États membres de mettre en oeuvre l'exercice des droits des personnes concernées en matière d'information, d'accès, de rectification, d'effacement et de limitation du traitement de leurs données à caractère personnel dans le cadre de poursuites pénales, et les éventuelles limitations de ces droits, dans leurs dispositions nationales en matière de procédure pénale,

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet et objectifs

1.  La présente directive établit les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou et de l'exécution de sanctions pénales et des conditions de la libre circulation de ces données à caractère personnel.

2.  Conformément à la présente directive, les États membres:

a)  protègent les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection des de leurs données à caractère personnel et de leur vie privée; et

b)  veillent à ce que l'échange de données à caractère personnel par les autorités compétentes au sein de l'Union ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

2 bis.  La présente directive n'empêche pas les États membres de prévoir des garanties plus strictes que celles qu'elle établit. [Am. 59]

Article 2

Champ d’application

1.  La présente directive s'applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1.

2.  La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

3.  La présente directive ne s'applique pas au traitement de données à caractère personnel effectué:

a)  dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;

b)  par les institutions, organes et organismes de l'Union. [Am. 60]

Article 3

Définitions

Aux fins de la présente directive, on entend par:

(1)  «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à des identifiants en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

(2)  «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d'identification, des données de localisation, un identifiant unique ou un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne;

(2 bis)  "données pseudonymes", des données à caractère personnel ne pouvant être attribuées à une personne concernée déterminée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution;

(3)  «traitement de données à caractère personnel», toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation du traitement, l'effacement ou la destruction;

(3 bis)  "profilage", toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement;

(4)  «limitation du traitement», le marquage de données à caractère personnel mises en mémoire, en vue de limiter leur traitement futur;

(5)  «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

(6)  «responsable du traitement», l'autorité publique compétente qui, seule ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par le droit d'un État membre;

(7)  «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

(8)  «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel;

(9)  «violation de données à caractère personnel», une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d'une autre manière;

(10)  «données génétiques», toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal;

(11)  «données biométriques», toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

(12)  «données concernant la santé», toute information donnée à caractère personnel relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne,

(13)  «enfant», toute personne âgée de moins de dix-huit ans;

(14)  «autorités compétentes», toute autorité publique compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

(15)  «autorité de contrôle», une autorité publique qui est instituée par un État membre conformément à l'article 39. [Am. 61]

CHAPITRE II

PRINCIPES

Article 4

Principes relatifs au traitement des données à caractère personnel

Les États membres prévoient que les données à caractère personnel doivent être:

a)  traitées loyalement et licitement de manière licite, loyale, transparente et vérifiable au regard de la personne concernée;

b)  collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;

c)  adéquates, pertinentes et non excessives limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si et pour autant que les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;

d)  exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;

e)  conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées;

f)  traitées sous la responsabilité du responsable du traitement, qui veille au garantit et est en mesure de démontrer le respect des dispositions adoptées en vertu de la présente directive ;

f bis) traitées d'une manière qui permette effectivement à la personne concernée d'exercer ses droits, tels que visés aux articles 10 à 17;

f ter) traitées d'une manière qui protège contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées;

f quater) traitées uniquement par les membres du personnel dûment autorisés des autorités compétentes qui ont besoin de ces données pour l'exercice de leurs missions. [Am. 62]

Article 4 bis

Accès aux données initialement traitées à des fins autres que celles visées à l'article 1er, paragraphe 1

1.  Les États membres prévoient que les autorités compétentes peuvent seulement avoir accès aux données à caractère personnel initialement traitées à des fins autres que celles visées à l'article 1er, paragraphe 1, dès lors que le droit de l'Union ou ou des États membres qui les y autorise spécifiquement satisfait aux exigences énoncées à l'article 7, paragraphe 1 bis, et dispose ce qui suit:

a)  l'accès est limité aux seuls membres dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas déterminé, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales;

b)  toute demande d'accès doit être présentée par écrit et préciser le motif juridique de la demande;

c)  la demande écrite doit être documentée; et

d)  des garanties appropriées sont mises en œuvre afin d'assurer la protection des libertés et droits fondamentaux en relation avec le traitement des données à caractère personnel. Ces garanties sont sans préjudice des conditions spécifiques d'accès aux données à caractère personnel comme l'autorisation judiciaire conformément au droit des États membres, et viennent compléter ces conditions.

2.  L'accès aux données à caractère personnel détenues par des tiers privés ou d'autres autorités publiques n'est possible qu'à des fins d'enquête ou de poursuites concernant des infractions pénales, dans le respect des exigences de nécessité et de proportionnalité devant être arrêtées par le droit de l'Union ou des États membres, en pleine conformité avec l'article 7 bis. [Am. 63]

Article 4 ter

Délais de conservation et d'examen

1.  Les États membres prévoient que les données à caractère personnel traitées en vertu de la présente directive sont supprimées par les autorités compétentes lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées.

2.  Les États membres prévoient la mise en place, par les autorités compétentes, de mécanismes assurant la fixation de délais, en vertu de l'article 4, applicables à l'effacement des données à caractère personnel et à l’examen périodique de la nécessité de conserver ces données, y compris la fixation de délais de conservation pour les différentes catégories de données à caractère personnel. Des mesures procédurales sont établies afin de garantir le respect de ces délais ou de ces intervalles d'examen périodique. [Am. 64]

Article 5

Distinction entre Différentes catégories de personnes concernées

1.  Les États membres prévoient que le responsable du traitement établit, dans la mesure du possible, une distinction claire entre les autorités compétentes, pour les finalités visées à l'article 1er, paragraphe 1, peuvent traiter les les données à caractère personnel de différentes des seules catégories de personnes concernées, telles que suivantes, entre lesquelles le responsable du traitement des donnés établit une distinction claire:

a)  les personnes à l'égard desquelles il existe des motifs sérieux raisonnables de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;

b)  les personnes reconnues coupables d'une infraction pénaled’un crime;

c)  les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale; et

d)  les tiers à l'infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, ou une personne pouvant fournir des informations sur des infractions pénales, ou un contact ou un associé de l'une des personnes mentionnées aux points a) et b); et

e)  les personnes qui n'appartiennent à aucune des catégories susmentionnées.

2.  Les données à caractère personnel des personnes concernées autres que celles visées au paragraphe 1 ne peuvent être traitées:

a)  qu'aussi longtemps que cela s'avère nécessaire à des fins d'enquêtes ou de poursuites concernant une infraction pénale spécifique, pour évaluer la pertinence des données au regard de l'une des catégories indiquées au paragraphe 1; ou

b)  que si ce traitement est indispensable pour atteindre des objectifs ciblés et préventifs ou à des fins d'analyse criminelle, si, et pour autant que, cette finalité soit légitime, bien définie et spécifique, et que le traitement soit strictement limité à l'évaluation de la pertinence des données au regard de l'une des catégories indiquées au paragraphe 1. Ceci fait l'objet d'un réexamen régulier au moins tous les six mois. Tout autre usage est interdit.

3.  Les États membres prévoient que les garanties et les limites complémentaires prévues par les dispositions du droit des État membres s'appliquent au traitement ultérieur des données à caractère personnel relatives aux personnes concernées visées au paragraphe 1, points c) et d). [Am. 65]

Article 6

Niveaux d’exactitude et de fiabilité des données à caractère personnel

1.  Les États membres veillent à ce qu'une distinction soit établie, dans la mesure du possible, entre les différentes catégories de garantir l'exactitude et la fiabilité des données à caractère personnel soumises à un traitement, selon leur niveau de précision et de fiabilité.

2.  Les États membres veillent à ce que les données à caractère personnel fondées sur des faits soient, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles, conformément à leur degré d'exactitude et de fiabilité.

2 bis.  Les États membres veillent à ce que les données à caractère personnel inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, les autorités compétentes évaluent la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données, les informations disponibles sont jointes aux données, afin que l'État membre destinataire puisse juger de l'exactitude, de l'exhaustivité, de l'actualité et de la fiabilité desdites données. Les données à caractère personnel sont uniquement transmises sur demande d'une autorité compétente, en particulier les données détenues initialement par des tiers privés.

2 ter.  S'il s'avère que des données inexactes ont été transmises ou que des données ont été transmises illicitement, le destinataire doit en être informé sans délai. Le destinataire est tenu de rectifier sans délai les données conformément au paragraphe 1 et à l'article 15 ou de les effacer conformément à l'article 16. [Am. 66]

Article 7

Licéité du traitement

1.  Les États membres prévoient que le traitement des données à caractère personnel n'est licite que si, et dans la mesure où, il est fondé sur le droit de l'Union ou des États membres pour les finalités exposées à l'article 1er, paragraphe 1, et qu'il est nécessaire:

(a)  à l'exécution d'une mission par une autorité compétente, en vertu de la législation, pour les finalités énoncées à l'article 1er, paragraphe 1; ou

(b)  au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou

(c)  à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

(d)  pour prévenir une menace grave et immédiate pour la sécurité publique.

1 bis.  Le droit des États membres régissant le traitement des données à caractère personnel qui relèvent du champ d’application de la présente directive contiennent des dispositions explicites et détaillées précisant à tout le moins:

a)  les objectifs du traitement;

b)  les données à caractère personnel à traiter;

c)  les finalités et moyens spécifiques du traitement;

d)  la désignation du responsable du traitement, ou les critères spécifiques présidant à cette désignation;

e)  les catégories de membres du personnel des autorités compétentes dûment autorisées à traiter les données à caractère personnel;

f)  la procédure à suivre pour le traitement;

g)  l'utilisation pouvant être faite des données à caractère personnel recueillies;

h)  les limitations applicables à l’étendue de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement.[Am. 67]

Article 7 bis

Traitement ultérieur à des fins incompatibles

1.  Les États membres prévoient que le traitement ultérieur des données à caractère personnel à des fins autres que celles énoncées à l'article 1er, paragraphe 1, qui n'est pas compatible avec la finalité de la collecte initiale, n'est autorisé que si, et dans la mesure où:

a)  ce traitement ultérieur est strictement nécessaire et proportionné dans une société démocratique et requis par le droit de l’Union ou le droit des États membres pour une finalité légitime, bien définie et spécifique;

b)  le traitement est strictement limité à une période n'excédant pas la durée nécessaire pour l'opération spécifique de traitement des données;

c)  toute utilisation ultérieure pour d'autres finalités est interdite.

Avant de procéder à tout traitement, l'État membre consulte l’autorité de contrôle nationale compétente et procède à une analyse d'impact relative à la protection des données.

2.  Outre les exigences énoncées à l'article 7, paragraphe 1 bis, le droit des États membres autorisant le traitement ultérieur visé au paragraphe 1 contient des dispositions explicites et détaillées précisant à tout le moins:

a)  les finalités et moyens spécifiques de ce traitement particulier;

b)  que l'accès est limité aux seuls membres du personnel dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas particulier, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection des infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales; et

c)  que des garanties appropriées sont mises en place afin d'assurer la protection des libertés et droits fondamentaux en relation avec le traitement des données à caractère personnel.

Les États membres peuvent exiger que cet accès aux données à caractère personnel soit assorti de conditions supplémentaires telles qu'une autorisation judiciaire, conformément à leur droit national.

3.  Les États membres peuvent également autoriser le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques et scientifiques dès lors qu'ils mettent en place les garanties appropriées comme l'anonymisation des données. [Am. 68]

Article 8

Traitements portant sur des catégories particulières de données à caractère personnel

1.  Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance syndicale et les activités syndicales, ainsi que le traitement des données génétiques biométriques ou des données concernant la santé ou la vie sexuelle.

2.  Le paragraphe 1 ne s'applique pas lorsque:

a)  le traitement est autorisé par une strictement nécessaire et proportionné à l'exécution d'une mission effectuée par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1, sur la base du droit prévoyant de l'Union ou du droit des États membres qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des intérêts légitimes de la personne concernée, y compris une autorisation spécifique d'une autorité judiciaire si le droit national l'exige; ou

b)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

c)  le traitement porte sur des données manifestement rendues publiques par la personne concernée à condition qu'elles soient pertinentes et strictement nécessaires à la finalité poursuivie dans un cas spécifique. [Am. 69]

Article 8 bis

Traitement de données génétiques aux fins d'une enquête criminelle ou d'une procédure judiciaire

1.  Les États membres veillent à ce que les données génétiques ne puissent être utilisées qu'afin d'établir un lien génétique dans le cadre de la fourniture de preuves, de la prévention d'une menace pour la sécurité publique ou de la commission d'une infraction pénale spécifique. Les données génétiques ne peuvent être utilisées pour déterminer d'autres caractéristiques susceptibles d'être génétiquement liées.

2.  Les États membres prévoient que les données génétiques ou les informations découlant de leur analyse ne peuvent être conservées au-delà de ce qui est nécessaire aux fins pour lesquelles les données sont traitées et lorsque la personne concernée a été reconnue coupable d'atteintes graves à la vie, l'intégrité ou la sécurité de personnes, sous réserve de durées de conservation strictes fixées par le droit des États membres.

3.  Les États membres s'assurent que les données génétiques ou les informations découlant de leur analyse ne sont conservées pour des durées plus longues que si les données génétiques ne peuvent être attribuées à une personne, en particulier lorsqu'elles ont été trouvées sur une scène de crime. [Am. 70]

Article 9

Mesures fondées sur le profilage et sur le traitement automatisé

1.  Les États membres prévoient que les mesures produisant des effets juridiques défavorables pour la personne concernée ou l'affectant de manière significative et qui sont prises partiellement ou entièrement sur le seul fondement d’un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à cette personne sont interdites, à moins d'être autorisées par une loi qui prévoit également des mesures destinées à préserver les intérêts légitimes de la personne concernée.

2.  Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à la personne concernée ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel visées à l’article 8.

2 bis.  Le traitement automatisé de données à caractère personnel destiné à distinguer une personne concernée en l'absence d'un soupçon initial portant à croire que cette personne concernée pourrait avoir commis, ou commettra à l'avenir, une infraction pénale n'est licite que si, et pour autant que, ce traitement est strictement nécessaire pour enquêter sur une infraction pénale grave ou pour prévenir un danger clair, imminent et établi sur la base d'indications factuelles, pour la sécurité publique, l'existence de l'État ou la vie de personnes.

2 ter.  Tout profilage qui, intentionnellement ou non, a pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, le genre ou l'orientation sexuelle, ou qui, intentionnellement ou non, se traduit par des mesures produisant un tel effet, est interdit dans tous les cas. [Am. 71]

Article 9 bis

Principes généraux pour les droits de la personne concernée

1.  Les États membres veillent à ce que le fondement de la protection des données soit clair et prévoie des droits univoques pour les personnes concernées, qui doivent être respectés par le responsable du traitement. Les dispositions de la présente directive visent à renforcer, à clarifier, à garantir et, le cas échéant, à codifier ces droits.

2.  Les États membres veillent à ce que ces droits incluent, entre autres, la fourniture d'informations claires et facilement intelligibles sur le traitement des données à caractère personnel de la personne concernée, sur le droit d'accès, de rectification et d'effacement de ses données, le droit d'obtenir des données, le droit d'introduire une réclamation auprès de l'autorité chargée de la protection des données compétente et le droit d'ester en justice, ainsi que le droit à réparation et à des dommages-intérêts pour une opération de traitement illicite. Ces droits sont en général exercés gratuitement. Le responsable du traitement répond aux demandes des personnes concernées dans un délai raisonnable. [Am. 72]

CHAPITRE III

DROITS DE LA PERSONNE CONCERNÉE

Article 10

Modalités de l'exercice des droits de la personne concernée

1.  Les États membres prévoient que le responsable du traitement prend toutes les mesures raisonnables afin d'appliquer dispose de règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel, et en vue de l’exercice de leurs droits par les personnes concernées.

2.  Les États membres prévoient que le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant.

3.  Les États membres prévoient que le responsable du traitement prend toutes établit les mesures nécessaires afin d'établir les procédures pour la communication des informations visées à l’article 11 et les procédures pour l'exercice des droits des personnes concernées visés aux articles 12 à 17. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement fournit les moyens d'effectuer des demandes par voie électronique.

4.  Les États membres prévoient que le responsable du traitement informe, sans retard injustifié, tarder la personne concernée des suites données à sa demande et, au plus tard, dans un délai d'un mois à compter de la réception de la demande. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique.

5.  Les États membres prévoient que les informations et les éventuelles mesures prises par le responsable du traitement à la suite d'une demande visée aux paragraphes 3 et 4 sont gratuites. Lorsque les demandes sont abusives manifestement excessives, notamment en raison de leur caractère répétitif, ou de la longueur ou du volume de la demande, le responsable du traitement peut exiger le paiement de frais raisonnables, qui tiennent compte des coûts administratifs, pour fournir les informations ou pour prendre la mesure demandée, ou peut s'abstenir de prendre cette dernière les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère abusif manifestement excessif de la demande.

5 bis.  Les États membres peuvent prévoir que la personne concernée peut faire valoir ses droits directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle nationale compétente. Lorsque l'autorité de contrôle a agi à la demande de la personne concernée, elle informe cette dernière des vérifications effectuées. [Am. 73]

Article 11

Informations à la personne concernée

1.  Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, les États membres veillent à ce que le responsable du traitement prenne les mesures appropriées pour fournir fournisse à cette personne au moins les informations suivantes:

a)  l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données;

b)  la base juridique et les finalités du traitement auquel les données à caractère personnel sont destinées;

c)  la durée pendant laquelle les données à caractère personnel seront conservées;

d)  l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, leur rectification, leur effacement ou la limitation de leur traitement;

e)  le droit d'introduire une réclamation auprès de l'autorité de contrôle prévue à l'article 39, et les coordonnées de ladite autorité;

f)  les destinataires ou les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d'organisations internationales, et qui sont autorisés à accéder à ces données au titre de la législation dudit pays tiers ou des dispositions de ladite organisation internationale, l'existence ou l'absence d'une décision relative au caractère adéquat du niveau de protection rendue par la Commission ou, en cas de transferts visés à l'article 35 ou 36, les moyens d'obtenir une copie des garanties appropriées utilisées pour le transfert;

f bis) lorsque le responsable du traitement traite des données à caractère personnel décrites à l'article 9, paragraphe 1, les informations sur l'existence d'un traitement pour une mesure du type visé à l'article 9, paragraphe 1, et les effets voulus de ce traitement à l’égard de la personne concernée, des informations sur la logique sous-tendant le profilage et le droit d'obtenir une évaluation humaine;

f ter) les informations concernant des mesures de sécurité prises dans le but de protéger les données à caractère personnel;

g)  toute autre information, dans la mesure où elle est nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont traitées.

2.  Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

3.  Le responsable du traitement fournit les informations visées au paragraphe 1:

a)  au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou

b)  lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont traitées.

4.  Les États membres peuvent adopter des mesures législatives prévoyant de retarder ou de limiter la fourniture des informations, ou leur non-fourniture, aux personnes concernées, dans un cas spécifique, dans la mesure où, et aussi longtemps que, cette limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée:

(a)  pour éviter de gêner des des recherches, des enquêtes ou des procédures officielles ou judiciaires;

(b)  pour éviter de nuire à la prévention ou à la détection d’infractions pénales, ou aux enquêtes ou auxpoursuites en la matière, ou pour exécuter des sanctions pénales;

(c)  pour protéger la sécurité publique;

(d)  pour protéger la sûreté de l’État;

(e)  pour protéger les droits et libertés d'autrui.

5.  Les États membres prévoient que le responsable du traitement évalue, dans chaque cas, si une limitation partielle ou complète s'applique pour l'une des raisons énoncées au paragraphe 4, en procédant à un examen concret et individuel. Les États membres peuvent également déterminer, par voie législative, des catégories de traitements de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au aux points a), b), c) et d), du paragraphe 4. [Am. 74]

Article 12

Droit d'accès de la personne concernée

1.  Les États membres prévoient le droit pour la personne concernée d'obtenir confirmation du responsable du traitement que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit, si elles ne l'ont pas déjà été, les informations suivantes:

—a)  l'indication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données et, le cas échéant, des informations intelligibles sur la logique associée à tout traitement automatisé;

-a bis) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 9;

a)  les finalités du traitement ainsi que son fondement juridique;

b)  les catégories de données à caractère personnel concernées;

c)  les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires établis dans des pays tiers;

d)  la durée pendant laquelle les données à caractère personnel seront conservées;

e)  l’existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel relatives à la personne concernée, ou la limitation de leur traitement ;

f)  le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

g)  la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données.

2.  Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement une copie des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. [Am. 75]

Article 13

Limitations du droit d’accès

1.  Les États membres peuvent adopter des mesures législatives limitant, en fonction du cas spécifique, entièrement ou partiellement, le droit d'accès de la personne concernée, dans la mesure où et pour le temps pendant lequel une telle limitation partielle ou complète constitue une mesure strictement nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée:

(a)  pour éviter de gêner des des recherches, des enquêtes ou des procédures officielles ou judiciaires;

(b)  pour éviter de nuire à la prévention ou à la détection d’infractions pénales, ou aux enquêtes ou aux poursuites en la matière, ou pour exécuter des sanctions pénales;

(c)  pour protéger la sécurité publique;

(d)  pour protéger la sûreté de l’État;

(e)  pour protéger les droits et libertés d'autrui.

2.  Les États membres prévoient que le responsable du traitement évalue, dans chaque cas, si une limitation partielle ou complète s'applique pour l'une des raisons énoncées au paragraphe 1, en procédant à un examen concret et individuel. Ils peuvent également déterminer, par voie législative, déterminer des catégories de traitement de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au aux points a) à d), du paragraphe 1.

3.  Dans les situations prévues aux paragraphes 1 et 2, les États membres prévoient qu'en cas de refus ou de limitation de l'accès aux données, le responsable du traitement informe la personne concernée, par écrit et sans retard injustifié, de la justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. Les motifs de fait ou de droit qui fondent la décision peuvent être omis lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 1.

4.  Les États membres veillent à ce que le responsable du traitement conserve une trace documentaire de l'évaluation visée au paragraphe 2 ainsi que des raisons pour lesquelles il a omis de communiquer les limité la communication des motifs de fait ou de droit fondant la décision. Ces informations sont mises à la disposition des autorités de contrôle nationales. [Am. 76]

Article 14

Modalités de l'exercice du droit d’accès

1.  Les États membres prévoient le droit pour la personne concernée de demander, à tout moment, notamment dans les cas mentionnés à l'article aux articles 12 et 13, que l'autorité de contrôle vérifie la licéité du traitement.

2.  L'État membre prévoitLes États membres prévoient que le responsable du traitement informe la personne concernée de son droit de demander l'intervention de l'autorité de contrôle en vertu du paragraphe 1.

3.  Lorsque le droit mentionné au paragraphe 1 est exercé, l'autorité de contrôle informe la personne concernée, à tout le moins, de la réalisation de toutes les vérifications nécessaires incombant à l'autorité de contrôle, et du résultat concernant la licéité du traitement en question. L'autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel.

3 bis.  Les États membres peuvent prévoir que la personne concernée peut faire valoir ce droit directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle nationale compétente.

3 ter.  Les États membres veillent à ce que le responsable du traitement dispose de délais raisonnables pour répondre aux demandes des personnes concernées au sujet de l'exercice de leur droit d'accès. [Am. 77]

Article 15

Droit à rectification et droit de compléter

1.  Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement la rectification des que les données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d’obtenir, notamment au moyen d'une déclaration rectificative, que les données à caractère personnel ou incomplètes soient rectifiées ou complétées, notamment au moyen d'une déclaration rectificative ou complémentaire.

2.  Les États membres prévoient qu'en cas de refus de rectification rectifier ou de compléter des données, le responsable du traitement informe la personne concernée, par écrit, avec une justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. [Am. 78]

2 bis.  Les États membres prévoient que le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification effectuée, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.

2 ter.  Les États membres prévoient que le responsable du traitement communique la rectification des données à caractère personnel inexactes au tiers duquel proviennent les données à caractère personnel inexactes.

2 quater.  Les États membres prévoient que la personne concernée peut faire valoir ce droit également par l'intermédiaire de l'autorité de contrôle nationale compétente. [Am. 78]

Article 16

Droit à l'effacement

1.  Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsque le traitement n'est pas conforme aux dispositions adoptées en vertu desarticles 4, points a) à e), 6, 7 et 8 de la présente directive.

2.  Le responsable du traitement procède à l'effacement sans délai. Le responsable du traitement cesse également de diffuser ces données.

3.  Au lieu de procéder à l'effacement, le responsable du traitement marque les limite le traitement de données à caractère personnel:

(a)  pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données, lorsque cette dernière est contestée par la personne concernée;

(b)  lorsque les données à caractère personnel doivent être conservées à des fins probatoires; ou pour la protection d'intérêts vitaux de la personne concernée ou d'une autre personne.

(c)  lorsque la personne concernée s'oppose à leur effacement et exige, à la place de cela, la limitation de leur utilisation.

3 bis.  Lorsque le traitement des données à caractère personnel est limité en vertu du paragraphe 3, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

4.  Les États membres prévoient que qu'en cas de refus d'effacer des données ou de limitation de leur traitement, le responsable du traitement informe la personne concernée, par écrit, de tout refus d'effacer ou de marquer les données traitées, avec une justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4 bis.  Les États membres prévoient que le responsable du traitement notifie aux destinataires auxquels ces données ont été transmises tout effacement réalisé ou toute limitation décidée en vertu du paragraphe 1, à moins qu'une telle communication ne se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de l'existence de ces tiers.

4 ter.  Les États membres peuvent prévoir que la personne concernée peut faire valoir ce droit directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle nationale compétente. [Am. 79]

Article 17

Droits des personnes concernées lors des enquêtes et des procédures pénales

Les États membres peuvent prévoir que, lorsque les données à caractère personnel figurent dans une décision judiciaire ou un casier judiciaire faisant l'objet d'un traitement lors d'une enquête judiciaire ou d'une procédure pénale, les droits d'information, d'accès, de rectification, d'effacement et de limitation du traitement prévus aux articles 11 à 16 sont exercés conformément aux règles nationales de procédure pénale.

CHAPITRE IV

RESPONSABLE DU TRAITEMENT ET SOUS‑TRAITANT

SECTION 1

OBLIGATIONS GÉNÉRALES

Article 18

Obligations incombant au responsable du traitement

1.  Les États membres prévoient que le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être en mesure de démontrer, de manière transparente, pour chaque opération de traitement, que le traitement des données à caractère personnel est effectué dans le respect des dispositions adoptées en vertu de la présente directive, tant au moment de la définition des moyens du traitement qu'au moment du traitement proprement dit.

2.  Les mesures visées au paragraphe 1 portent notamment sur:

a)  la tenue de la documentation visée à l'article 23;

a bis)  la réalisation d'une analyse d'impact relative à la protection des données en application de l'article 25 bis;

b)  le respect de l'obligation de consultation préalable prévue à l'article 26;

c)  la mise en œuvre des exigences en matière de sécurité des données prévues à l’article 27;

d)  la désignation d'un délégué à la protection des données en application de l’article 30 ;

d bis) l'élaboration et la mise en œuvre de garanties spécifiques destinées au traitement de données à caractère personnel relatives aux enfants, lorsque cela se révèle pertinent.

3.  Le responsable du traitement met en œuvre des mécanismes pour vérifier le caractère adéquat et l’efficacité des mesures visées au paragraphe 1 du présent article. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. [Am. 80]

Article 19

Protection des données dès la conception et protection des données par défaut

1.  Les États membres prévoient que, compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des coûts liés à leur mise en œuvre risques que présente le traitement des données, le responsable du traitement applique et, le cas échéant, le sous-traitant appliquent, tant lors de la définition des finalités et moyens du traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées et proportionnées de manière à ce que le traitement réponde aux exigences des dispositions adoptées en vertu de la présente directive et garantisse la protection des droits de la personne concernée, en particulier eu égard aux principes prévus à l'article 4. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement; elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Lorsque le responsable du traitement a procédé à une analyse d'impact relative à la protection des données en vertu de l'article 25 bis, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures.

2.  Le responsable du traitement met en œuvre des mécanismes visant à garantir s'assure que, par défaut, seules sont traitées les données à caractère personnel nécessaires aux finalités à chaque finalité spécifique du traitement seront traitées, ces données n'étant, en particulier, pas collectées, conservées ou diffusées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel. [Am. 81]

Article 20

Responsables conjoints du traitement

1.  Les États membres prévoient que, lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord juridiquement contraignant, leurs obligations respectives afin de se conformer aux dispositions adoptées en vertu de la présente directive, notamment en ce qui concerne les procédures et mécanismes régissant l'exercice des droits de la personne concernée.

2.  À moins que la personne concernée ne sache, pour en avoir été informée, lequel des responsables conjoints du traitement est responsable en vertu du paragraphe 1, elle peut exercer ses droits au titre de la présente directive à l'égard et à l'encontre de chacun des responsables conjoints du traitement, au nombre de deux ou plus. [Am. 82]

Article 21

Sous‑traitant

1.  Les États membres prévoient que le responsable du traitement, lorsqu'un traitement est effectué pour son compte, doit choisir choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences des dispositions adoptées en vertu de la présente directive et garantisse la protection des droits de la personne concernée, en particulier en ce qui concerne les mesures de sécurité technique et les mesures organisationnelles régissant le traitement à effectuer, et veille au respect de ces mesures.

2.  Les États membres prévoient que la réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous‑traitant n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit.:

a)  n'agit que sur instruction du responsable du traitement;

b)  n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

c)  prend toutes les mesures nécessaires en vertu de l'article 27;

d)  n'engage un autre sous-traitant que moyennant l'autorisation du responsable du traitement et informe donc ce dernier en temps utile de son intention d'engager un autre sous-traitant de manière à donner au responsable du traitement la possibilité de s'y opposer;

e)  dans la mesure du possible compte tenu de la nature du traitement, adopte, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f)  aide le responsable du traitement à garantir le respect des obligations prévues aux articles 25 bis à 29;

g)  renvoie tous les résultats au responsable du traitement à l'issue du traitement et ne traite pas les données à caractère personnel d'une autre manière et détruit les copies existantes à moins que le droit de l'Union ou des États membres ne requière leur stockage;

h)  met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article;

i)  tient compte du principe de protection des données dès la conception et par défaut.

2 bis.  Le responsable du traitement et le sous-traitant conservent une trace documentaire écrite des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.

3.  S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous‑traitant est considéré comme un responsable du traitement à l’égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 20. [Am. 83]

Article 22

Traitements effectués sous l'autorité du responsable du traitement et du sous‑traitant

1.  Les États membres prévoient que le sous‑traitant, ainsi que toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, ou s'il y est obligé par le droit de l'Union ou d'un État membre.

1 bis.  Lorsque le sous-traitant joue ou commence à jouer un rôle déterminant en ce qui concerne la finalité, les moyens ou les méthodes de traitement des données, ou lorsqu'il n'agit pas exclusivement sur instruction du responsable du traitement, il est considéré comme un responsable conjoint du traitement, conformément à l'article 20. [Am. 84]

Article 23

Documentation

1.  Les États membres prévoient que chaque responsable du traitement et chaque sous‑traitant conservent une trace documentaire de tous les systèmes et procédures de traitement sous leur responsabilité.

2.  La documentation constituée comporte au moins les informations suivantes:

a)  le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous‑traitant;

a bis) un accord juridiquement contraignant, en cas de responsables conjoints du traitement; une liste des sous-traitants et des activités faisant l’objet de sous-traitance;

b)  les finalités du traitement;

b bis) l'indication des services de l'organisation du responsable du traitement ou du sous-traitant chargés du traitement de données à caractère personnel pour une finalité spécifique;

b ter) une description de la catégorie ou des catégories de personnes concernées et des données ou catégories de données à caractère personnel s'y rapportant;

c)  les destinataires ou les catégories de destinataires des données à caractère personnel;

c bis)  le cas échéant, des informations sur l'existence d'un profilage, de mesures fondées sur le profilage, et de mécanismes d'opposition au profilage;

c ter)  des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé;

d)  les transferts de données vers un pays tiers ou à une organisation internationale, y compris leur identification respective. et les motifs juridiques fondant le transfert de données; une explication substantielle est requise lorsque le transfert se fonde sur l’article 35 ou 36 de la présente directive;

d bis)  les dates limites pour l'effacement des différentes catégories de données;

d ter)  les résultats des contrôles des mesures prévues à l'article 18, paragraphe 1;

d quater)  une indication de la base juridique de l'opération de traitement à laquelle les données sont destinées.

3.  Le responsable du traitement et le sous‑traitant mettent toute la documentation à la disposition de l'autorité de contrôle, à la demande de celle‑ci. [Am. 85]

Article 24

Établissement de relevés des opérations de traitement

1.  Les États membres veillent à ce que des relevés soient établis au moins pour les opérations de traitement suivantes: la collecte, l'altération, la consultation, la communication, l'interconnexion ou l'effacement. Les relevés des opérations de consultation et de communication indiquent en particulier la finalité, la date et l'heure de celles-ci et, dans la mesure du possible, l'identification de la personne qui a consulté ou communiqué les données à caractère personnel, ainsi que l'identité des destinataires de ces données.

2.  Les relevés sont utilisés uniquement à des fins de vérification de la licéité du traitement des données, d’autocontrôle et de garantie de l’intégrité et de la sécurité des données, ou à des fins d'audit, que ce soit par le délégué à la protection des données, ou par l'autorité chargée de la protection des données.

2 bis.  Le responsable du traitement et le sous-traitant mettent les relevés à la disposition de l'autorité de contrôle, à la demande de celle-ci. [Am. 86]

Article 25

Coopération avec l'autorité de contrôle

1.  Les États membres prévoient que le responsable du traitement et le sous-traitant coopèrent, sur demande, avec l’autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment toutes les informations dont elle a besoin à cet effet. visées à l'article 46, paragraphe 2, point a), et en autorisant l'accès, conformément à l'article 46, paragraphe 2, point b).

2.  Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 46, paragraphe 1, points a) et b), le responsable du traitement et le sous‑traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle-ci. La réponse comprend une description des mesures prises et des résultats obtenus, en réponse aux observations formulées par l'autorité de contrôle. [Am. 87]

Article 25 bis

Analyse d'impact relative à la protection des données

1.  Les États membres prévoient que le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectue une analyse de l'impact des procédures et systèmes de traitement envisagés sur la protection des données à caractère personnel, lorsque les traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, et ce avant l'introduction des nouveaux traitements ou dans les meilleurs délais si les traitements existent déjà.

2.  En particulier, les traitements suivants sont susceptibles de présenter les risques particuliers visés au paragraphe 1:

a)  le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales;

b)  le traitement de catégories particulières de données à caractère personnel visées à l'article 8, de données à caractère personnel relatives aux enfants et de données biométriques et de localisation aux fins de la prévention et de la détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales;

c)  l'évaluation des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, le comportement de cette personne physique, qui est fondée sur un traitement automatisé et qui est susceptible d'aboutir à des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;

d)  la surveillance de zones accessibles au public, en particulier lorsque sont utilisés des dispositifs optoélectroniques (vidéosurveillance); ou

e)  les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application de l'article 26, paragraphe 1.

3.  L'évaluation contient au minimum:

a)  une description systématique des traitements envisagés;

b)  une évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités fixées;

c)  une évaluation des risques que le traitement présente pour les droits et les libertés des personnes concernées et les mesures envisagées pour pallier ces risques et limiter le volume de données à caractère personnel traité;

d)  les mesures de sécurité et les mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec les dispositions adoptées en vertu de la présente directive, en tenant compte des droits et intérêts légitimes des personnes concernées et des autres personnes touchées;

e)  une indication générale des délais impartis pour l'effacement des différentes catégories de données;

f)  le cas échéant, une liste des transferts de données prévus vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 36, paragraphe 2, les documents attestant l'existence de garanties appropriées.

4.  Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact.

5.  Les États membres prévoient que le responsable du traitement consulte le public sur le traitement envisagé, sans préjudice de la protection de l'intérêt public ou de la sécurité des traitements.

6.  Sans préjudice de la protection de l'intérêt public ou de la sécurité des traitements, l'évaluation est rendue facilement accessible au public.

7.  La Commission est habilitée à adopter, après avoir pris l'avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 56, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l'analyse prévue au paragraphe 3, y compris les conditions de modulation, de vérification et d'audit. [Am. 88]

Article 26

Consultation préalable de l'autorité de contrôle

1.  Les États membres veillent à ce que le responsable du traitement ou le sous‑traitant consulte l'autorité de contrôle avant le traitement de données à caractère personnel qui feront partie d’un nouveau fichier à créer, si afin de garantir la conformité du traitement prévu avec les dispositions adoptées en vertu de la présente directive et, notamment, d'atténuer les risques pour les personnes concernées:

a)  le traitement vise des catégories particulières de données mentionnées à l’article 8;lorsqu'une analyse d'impact relative à la protection des données telle que prévue à l'article 25 bis indique que les traitements sont, du fait de leur nature, de leur portée et/ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou

b)  en raison notamment de l’utilisation de nouveaux mécanismes, technologies ou procédures, le type de traitement présente des risques spécifiques pour les libertés et droits fondamentaux, notamment la protection des données à caractère personnel, des personnes concernées.lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements précis susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités.

1 bis.  Lorsque l'autorité de contrôle détermine, conformément aux pouvoirs dont elle est investie, que le traitement prévu n'est pas conforme aux dispositions adoptées en vertu de la présente directive, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

2.  Les États membres peuvent prévoir prévoient que l'autorité de contrôle établit, après avoir consulté le comité européen de la protection des données, établit une liste des traitements devant faire l'objet d'une consultation préalable conformément au paragraphe 1, point b).

2 bis.  Les États membres prévoient que le responsable du traitement ou le sous-traitant fournit à l'autorité de contrôle l'analyse d'impact relative à la protection des données conformément à l'article 25 bis et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

2 ter.  Si l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme aux dispositions adoptées en vertu de la présente directive, ou que les risques ne sont pas suffisamment identifiés ou atténués, elle formule des propositions appropriées afin de remédier à cette non-conformité.

2 quater.  Les États membres peuvent consulter l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définit la nature du traitement, en vue d'assurer la conformité du traitement prévu avec la présente directive et, en particulier, d'atténuer les risques pour les personnes concernées. [Am. 89]

SECTION 2

SÉCURITÉ DES DONNÉES

Article 27

Sécurité des traitements

1.  Les États membres prévoient que le responsable du traitement et le sous‑traitant mettent en œuvre les mesures et les procédures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

2.  En ce qui concerne le traitement automatisé de données, chaque État membre prévoit que le responsable du traitement ou le sous‑traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:

(a)  empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données à caractère personnel (contrôle de l’accès aux installations);

(b)  empêcher que des supports de données ne puissent être lus, copiés, modifiés ou enlevés par une personne non autorisée (contrôle des supports de données);

(c)  empêcher l’introduction non autorisée de données dans le fichier, ainsi que toute inspection, modification ou effacement non autorisé de données à caractère personnel enregistrées (contrôle du stockage);

(d)  empêcher que les systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données (contrôle des utilisateurs);

(e)  garantir que les personnes autorisées à utiliser un système de traitement automatisé de données ne puissent accéder qu’aux données sur lesquelles porte leur autorisation (contrôle de l’accès aux données);

(f)  garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission);

(g)  garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l’introduction);

(h)  empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport);

(i)  garantir que les systèmes installés puissent être rétablis en cas d’interruption (restauration);

(j)  garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).

j bis) veiller à ce que, s'agissant de données à caractère personnel sensibles conformément à l'article 8, des mesures de sécurité supplémentaires soient en place afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, face aux faiblesses et incidents décelés qui pourraient présenter un risque pour les données.

2 bis.  Les États membres prévoient que les sous-traitants ne soient nommés que s'ils garantissent d’être en mesure de respecter les mesures techniques et organisationnelles requises en vertu du paragraphe 1 et de se conformer aux instructions visées à l'article 21, paragraphe 2, point a). L'autorité compétente contrôle le sous-traitant sur ces aspects.

3.  La Commission peut adopter, si nécessaire, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, et notamment les normes de cryptage. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen prévue à l'article 57, paragraphe 2. [Am. 90]

Article 28

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1.  Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsque la notification a lieu après ce délai. En cas de retard, le responsable du traitement fournit une justification motivée à l'autorité de contrôle, sur demande.

2.  Le sous‑traitant alerte et informe le responsable du traitement immédiatement après avoir eu connaissance de la violation de données à caractère personnel sans retard injustifié après la constatation d’une telle violation.

3.  La notification visée au paragraphe 1 doit, à tout le moins:

a)  décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;

b)  communiquer l’identité et les coordonnées du délégué à la protection des données visé à l'article 30 ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)  recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

d)  décrire les conséquences éventuelles de la violation de données à caractère personnel;

e)  décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets.

Au cas où toutes les informations ne pourraient pas être fournies sans retard injustifié, le responsable du traitement peut compléter la notification lors d'une deuxième phase.

4.  Les États membres prévoient que le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin.

4 bis.  L'autorité de contrôle tient un registre public des types de violations notifiées.

5.  La Commission est habilitée à adopter, après avoir demandé l'avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 56, aux fins de préciser davantage les critères et exigences applicables à la constatation de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

6.  La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés en conformité avec la procédure d'examen prévue à l'article 57, paragraphe 2. [Am. 91]

Article 29

Communication à la personne concernée d'une violation de données à caractère personnel

1.  Les États membres prévoient que, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou, à la vie privée de la personne concernée ou aux droits ou intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 28, communique la violation sans retard injustifié à la personne concernée.

2.  La communication à la personne concernée prévue au paragraphe 1 est exhaustive et utilise des termes clairs et simples. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 28, paragraphe 3, points b) et, c) et d), ainsi que des informations relatives aux droits des personnes concernées, y compris le droit de recours.

3.  La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données à caractère personnel concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.

3 bis.  Sans préjudice de l'obligation du responsable du traitement de notifier à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

4.  La communication à la personne concernée peut être retardée, ou limitée ou omise pour les motifs visés à l'article 11, paragraphe 4. [Am. 92]

SECTION 3

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 30

Désignation du délégué à la protection des données

1.  Les États membres prévoient que le responsable du traitement ou le sous-traitant désigne un délégué à la protection des données.

2.  Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 32. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.

2 bis.  Les États membres prévoient que le responsable du traitement ou le sous-traitant veille à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflits d'intérêts.

2 ter.  Le délégué à la protection des données est nommé pour une période d'au moins quatre ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.

2 quater.  Les États membres prévoient que les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant.

3.  Le délégué à la protection des données peut être désigné pour plusieurs entités, compte tenu de la structure organisationnelle de l'autorité compétente.

3 bis.  Les États membres prévoient que le responsable du traitement ou le sous-traitant communique le nom et les coordonnées du délégué à la protection des données à l'autorité de contrôle et au public. [Am. 93]

Article 31

Fonction du délégué à la protection des données

1.  Les États membres prévoient que le responsable du traitement ou le sous-traitant veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2.  Le responsable du traitement ou le sous-traitant veille à ce que le délégué à la protection des données soit doté des moyens d'accomplir les missions et obligations visées à l'article 32 de manière effective et en toute indépendance, et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction.

2 bis.  Le responsable du traitement ou le sous-traitant aide le délégué à la protection des données à exercer ses missions et fournit tous les moyens, y compris le personnel, les locaux, les équipements, la formation professionnelle continue et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 32 et à l'entretien de ses connaissances professionnelles. [Am. 94]

Article 32

Missions du délégué à la protection des données

Les États membres prévoient que le responsable du traitement ou le sous-traitant confie au délégué à la protection des données au moins les missions suivantes:

(a)  sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en application des dispositions adoptées en vertu de la présente directive, en particulier en ce qui concerne les mesures et procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues;

(b)  contrôler la mise en œuvre et l'application des règles internes en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

(c)  contrôler la mise en œuvre et l'application des dispositions adoptées en vertu de la présente directive, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre des dispositions adoptées en vertu de la présente directive;

(d)  veiller à ce que la documentation visée à l’article 23 soit tenue à jour;

(e)  contrôler la documentation, la notification et la communication, prévues aux articles 28 et 29, relatives aux violations de données à caractère personnel;

(f)  vérifier l'application de l'analyse d'impact relative à la protection des données par le responsable du traitement ou le sous-traitant, et que les demandes de consultation préalables ont été introduites, si celles‑ci elles sont requises au titre de l'article 26, paragraphe 1;

(g)  vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

h)  faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative. [Am. 95]

CHAPITRE V

TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES

Article 33

Principes généraux applicables aux transferts de données à caractère personnel

1.  Les États membres prévoient qu'un transfert, par des autorités compétentes, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après leur transfert vers un pays tiers ou à une organisation internationale, y compris un transfert ultérieur vers un autre pays tiers ou une autre organisation internationale, ne peut avoir lieu que si:

a)  le transfert spécifique est nécessaire à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales; et

a bis) les données sont transférées à un responsable du traitement dans un pays tiers ou à une organisation internationale qui est une autorité publique compétente aux fins visées à l'article 1er, paragraphe 1; et

a ter) les conditions visées au présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel d'un pays tiers ou d'une organisation internationale vers un autre pays tiers ou une autre organisation internationale; et

b)  les conditions énoncées dans le présent chapitre autres dispositions adoptées en vertu de la présente directive sont respectées par le responsable du traitement et le sous-traitant ; et

b bis)  il n'est pas porté atteinte au niveau de protection des données à caractère personnel garanti dans l'Union par la présente directive; et

b ter)  la Commission a décidé, en vertu des conditions et procédures visées à l'article 34, que le pays tiers ou l'organisation internationale en question offrent un niveau de protection adéquat; ou

b quater)  des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant, comme indiqué à l'article 35.

2.  Les États membres prévoient qu'un transfert ultérieur visé au paragraphe 1 du présent article ne peut avoir lieu que si, outre les conditions fixées audit paragraphe:

a)  le transfert ultérieur est nécessaire pour la même finalité spécifique que le transfert initial; et

b)  l'autorité compétente qui a effectué le transfert initial autorise le transfert ultérieur. [Am. 96]

Article 34

Transferts assortis d'une décision constatant le caractère adéquat du niveau de protection

1.  Les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision, conformément à l'article 41 du règlement (UE) …./2012 ou conformément au paragraphe 3 du présent article, que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation d'autorisation spécifique.

2.  Lorsqu'il n'existe aucune décision adoptée en vertu de l'article 41 du règlement (UE) …./2012, la CommissionLorsqu'elle apprécie le caractère adéquat du niveau de protection en prenant, la Commission prend en considération les éléments suivants:

a)  la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sûreté de l’État et le droit pénal, ainsi que la mise en œuvre du présent acte législatif et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question; les précédents de la jurisprudence ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

b)  l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, dotées de pouvoirs de sanctions suffisants, d’assister et de conseiller la personne concernée dans l'exercice de ses droits et de coopérer avec les autorités de contrôle de l'Union et des États membres; et

c)  les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant relatifs à la protection des données à caractère personnel.

3.  La Commission peut est habilitée à adopter, après avoir demandé l'avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 56 afin de constater par voie de décision, dans les limites de la présente directive, qu’un pays tiers, un territoire ou un secteur de traitement de données dans cele pays tiers en question ou une organisation internationale assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.

4.  L'acte d'exécution délégué précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

4 bis.  La Commission suit, de manière permanente, les événements susceptibles de porter atteinte au respect des éléments visés au paragraphe 2 dans les pays tiers et dans les organisations internationales par rapport auxquels un acte délégué a été adopté en vertu du paragraphe 3.

5.  La Commission peut est habilitée à adopter des actes délégués en conformité avec l'article 56 afin de constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif pour les personnes concernées, notamment celles dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 57, paragraphe 3.

6.  Les États membres veillent à ce que, lorsque la Commission adopte une décision en vertu du paragraphe 5, selon laquelle tout transfert de données à caractère personnel vers le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question soit interdit, cette décision soit sans préjudice des transferts effectués au titre de l'article 35, paragraphe 1, ou conformément à l'article 36. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.

7.  La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers, et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

8.  La Commission contrôle l'application des actes d'exécution délégués visés aux paragraphes 3 et 5. [Am. 97]

Article 35

Transferts moyennant des garanties appropriées

1.  Lorsque la Commission n'a pas adopté de décision en vertu de l’article 34, les États membres prévoient ou lorsqu'elle constate par voie de décision qu'un pays tiers, un territoire d'un pays tiers ou une organisation internationale n'assure pas un niveau adéquat de protection conformément à l'article 34, paragraphe 5, le transfert de données à caractère personnel vers un pays tiers, un territoire d'un pays tiers ou à une organisation internationale ne peut avoir lieu n'est possible que si: le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

a)  des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant; ou

b)  le responsable du traitement ou le sous-traitant a évalué toutes les circonstances entourant le transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.

2.  La décision de transfert au titre du paragraphe 1, point b), doit être prise par un personnel dûment habilité. Tout transfert de ce type doit faire l'objet d'une documentation, qui doit être mise à la disposition de autorisé par l'autorité de contrôle, sur demande avant d'avoir lieu. [Am. 98]

Article 36

Dérogations

1.  Si la Commission constate par voie de décision, conformément à l'article 34, paragraphe 5, l'absence d'un niveau de protection adéquat, le transfert de données à caractère personnel vers le pays tiers concerné, ou à l'organisation internationale concernée, ne peut pas être effectué, pour autant que, dans le cas d'espèce, les intérêts légitimes de la personne concernée à ce que ce transfert n’ait pas lieu l'emportent sur l'intérêt public particulier que présente le transfert de ces données.

2.  Par dérogation aux articles 34 et 35, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si:

a)  le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou

b)  le transfert est nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l'État membre transférant les données à caractère personnel le prévoit; ou

c)  le transfert de données est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers; ou

d)  le transfert est nécessaire dans des cas particuliers à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales; ou

e)  le transfert est nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection des infractions pénales, des enquêtes et des poursuites en la matière, ou l’exécution de sanctions pénales;

2 bis.  Tout traitement se fondant sur le paragraphe 2 doit avoir une base juridique dans le droit de l'Union ou le droit de l'État membre dont est ressortissant le responsable du traitement; cet acte législatif doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueux du contenu essentiel du droit à la protection des données à caractère personnel et proportionné à l'objectif légitime poursuivi.

2 ter.  Tous les transferts de données à caractère personnel qui ont été décidés sur la base de dérogations sont dûment justifiés et limités au strict nécessaire, étant entendu que les transferts de données massifs et fréquents ne sont pas autorisés.

2 quater.  La décision de transfert au titre du paragraphe 2 doit être prise par un personnel dûment habilité. Ces transferts doivent être documentés et la documentation doit être mise à la disposition de l'autorité de contrôle à la demande de celle-ci, et indiquer la date et l'heure du transfert, donner des informations sur l'autorité destinataire, indiquer la justification du transfert et les données transférées. [Am. 99]

Article 37

Conditions spécifiques applicables au transfert de données à caractère personnel

Les États membres prévoient que le responsable du traitement informe le destinataire des données à caractère personnel de toute limitation du traitement et qu'il prend toutes les mesures raisonnables afin de garantir que ces limitations soient respectées. Le responsable du traitement notifie également au destinataire des données à caractère personnel toute mise à jour, rectification ou effacement des données qui aurait été effectué, à charge pour le destinataire de procéder à la même notification en cas de transfert ultérieur des données. [Am. 100]

Article 38

Coopération internationale dans le domaine de la protection des données à caractère personnel

1.  La Commission et les États membres prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

(a)  élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter garantir l’application de la législation relative à la protection des données à caractère personnel; [Am. 101]

(b)  se prêter mutuellement assistance sur le plan international dans la mise en application de la législation relative à la protection des données à caractère personnel, notamment par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et pour d'autres libertés et droits fondamentaux;

(c)  associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans l’application de la législation relative à la protection des données à caractère personnel;

(d)  favoriser l'échange et la conservation de la législation et des pratiques en matière de protection des données à caractère personnel.

d bis) clarifier les conflits juridictionnels avec les pays tiers et se consulter à ce sujet. [Am. 102]

2.  Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 34, paragraphe 3.

Article 38 bis

Rapport de la Commission

La Commission présente périodiquement un rapport sur l'application des articles 33 à 38 au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, qui doivent fournir ces informations sans délai injustifié. Le rapport est rendu public. [Am. 103]

CHAPITRE VI

AUTORITÉS DE CONTRÔLE INDÉPENDANTES

SECTION 1

STATUT D'INDÉPENDANCE

Article 39

Autorité de contrôle

1.  Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application des dispositions adoptées en vertu de la présente directive et de contribuer à son application cohérente dans l’ensemble de l'Union, afin de protéger les libertés et droits fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission.

2.  Les États membres peuvent prévoir que l'autorité de contrôle qu'ils instituent conformément au règlement (UE) n° …/2014 prend en charge les fonctions de l'autorité de contrôle devant être instituée conformément au paragraphe 1 du présent article.

3.  Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui sert de point de contact unique permettant une participation efficace de ces autorités au comité européen de la protection des données.

Article 40

Indépendance

1.  Les États membres veillent à ce que l'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés, nonobstant les modalités de coopération au titre du chapitre VII de la présente directive. [Am. 104]

2.  Chaque État membre prévoit que les membres de l'autorité de contrôle, dans l'accomplissement de leur mission, ne sollicitent ni n'acceptent d'instructions de quiconque, et maintiennent une indépendance et une impartialité totales. [Am. 105]

3.  Les membres de l’autorité de contrôle s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.

4.  Après la cessation de leurs fonctions, les membres de l'autorité de contrôle sont tenus de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.

5.  Chaque État membre veille à ce que l’autorité de contrôle dispose des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données.

6.  Chaque État membre veille à ce que l'autorité de contrôle dispose obligatoirement de son propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.

7.  Les États membres veillent à ce que l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que l’autorité de contrôle dispose de budgets annuels propres. Les budgets sont rendus publics.

Article 41

Conditions générales applicables aux membres de l'autorité de contrôle

1.  Chaque État membre prévoit que les membres de l’autorité de contrôle doivent être nommés soit par son parlement, soit par son gouvernement.

2.  Les membres sont choisis parmi les personnes offrant toutes garanties d'indépendance et qui possèdent une expérience et une compétence notoires pour l'accomplissement de leurs fonctions.

3.  Les fonctions des membres prennent fin à l'échéance de leur mandat, en cas de démission ou de mise à la retraite d'office conformément au paragraphe 5.

4.  Un membre peut être déclaré démissionnaire ou déchu du droit à pension ou d'autres avantages en tenant lieu par la juridiction nationale compétente, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.

5.  Un membre dont le mandat expire ou qui démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau membre.

Article 42

Règles relatives à l'établissement de l'autorité de contrôle

Chaque État membre prévoit par voie législative:

a)  l'établissement et le statut d'indépendance de l’autorité de contrôle conformément aux articles 39 et 40;

b)  les qualifications, l'expérience et les compétences requises pour exercer les fonctions de membre de l'autorité de contrôle;

c)  les règles et les procédures pour la nomination des membres de l'autorité de contrôle, ainsi que les règles relatives aux activités ou emplois incompatibles avec leurs fonctions;

d)  la durée du mandat des membres de l’autorité de contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier mandat après l'entrée en vigueur de la présente directive, qui peut être d'une durée plus courte;

e)  le caractère renouvelable ou non renouvelable du mandat des membres de l'autorité de contrôle;

f)  le statut et les conditions communes régissant les fonctions des membres et agents de l’autorité de contrôle;

g)  les règles et les procédures relatives à la cessation des fonctions des membres de l’autorité de contrôle, y compris lorsqu'ils ne remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou s'ils ont commis une faute grave.

Article 43

Secret professionnel

Les États membres prévoient que membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, et exécutent leurs tâches en toute indépendance et transparence, comme en dispose la présente directive. [Am. 106]

SECTION 2

FONCTIONS ET POUVOIRS

Article 44

Compétence

1.  Les États membres prévoient que chaque autorité de contrôle exerce est compétente pour exécuter ses tâches et pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément à la présente directive. [Am. 107]

2.  Les États membres prévoient que l'autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leurs fonctions juridictionnelles.

Article 45

Fonctions

1.  Les États membres prévoient que l'autorité de contrôle:

(a)  contrôle et assure l'application des dispositions adoptées conformément à la présente directive et de ses mesures d'exécution;

(b)  reçoit les réclamations introduites par toute personne concernée ou par une association la représentant et dûment mandatée par elle conformément à l'article 50, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment lorsqu'un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

(c)  vérifie la licéité du traitement de données en vertu de l'article 14, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification ou des motifs ayant empêché sa réalisation;

(d)  fournit une assistance mutuelle à d'autres autorités de contrôle et veille à la cohérence de l’application des dispositions adoptées conformément à la présente directive et des mesures prises pour en assurer le respect;

(e)  effectue des enquêtes, des inspections et des audits, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle a saisi l'autorité de contrôle d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

(f)  surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications;

(g)  est consultée par les institutions et organes de l’État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;

(h)  est consultée sur les traitements conformément à l'article 26;

(i)  participe aux activités du comité européen de la protection des données..

2.  Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.

3.  L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant de la présente directive et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.

4.  Pour les réclamations visées au paragraphe 1, point b), l’autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.

5.  Les États membres prévoient que l'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.

6.  Lorsque les demandes sont abusives manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou raisonnables. Ces frais ne dépassent pas prendre les mesures sollicitées par la personne concernée les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère abusif manifestement excessif de la demande. [Am. 108]

Article 46

Pouvoirs

1.  Les États membres prévoient que chaque autorité de contrôle doit notamment être est dotée des pouvoirs suivants:

a)  des pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle; informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée;

b)  de pouvoirs effectifs d’intervention, tels que celui de rendre des avis préalablement à la mise en œuvre des traitements et d’assurer une publication appropriée de ces avis, d’ordonner la limitation, l’effacement ou la destruction de données, d’interdire temporairement ou définitivement un traitement, d’adresser un avertissement ou une admonestation au responsable du traitement ou de saisir les parlements nationaux ou d’autres institutions politiques;ordonner au responsable du traitement de satisfaire aux demandes émanant de la personne concernée relatives à l’exercice des droits que lui confère la présente directive, y compris ceux visés aux articles 12 à 17 lorsque ces demandes ont été rejetées en violation de ces dispositions;

c)  le pouvoir d’ester en justice en cas de violation des dispositions nationales adoptées en application de la présente directive ou le pouvoir de porter cette violation à la connaissance de l’autorité judiciaire.ordonner au responsable du traitement ou au sous-traitant de fournir des informations conformément à l'article 10, paragraphes 1 et 2, et aux articles 11, 28 et 29;

d)  veiller au respect des avis sur les consultations préalables visées à l'article 26;

e)  adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;

f)  ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions adoptées en vertu de la présente directive et la notification de ces mesures aux tiers auxquels les données ont été communiquées;

g)  interdire temporairement ou définitivement un traitement;

h)  suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

i)  informer les parlements nationaux, le gouvernement ou d'autres institutions publiques ainsi que le public de cette question.

2.  Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant:

a)  l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions de contrôle;

b)  l'accès à tous ses locaux, et notamment à toute installation ou à tout moyen de traitement des données, conformément au droit national, s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire aux dispositions adoptées en vertu de la présente directive, sans préjudice d'une autorisation judiciaire si le droit national l'exige.

3.  Sans préjudice de l'article 43, les États membres prévoient qu'aucune obligation supplémentaire de secret professionnel n'est invoquée face à la demande des autorités de contrôle.

4.  Les États membres peuvent prévoir que des contrôles de sécurité supplémentaires conformes au droit national sont requis pour accéder à des informations classées à un niveau similaire à CONFIDENTIEL UE ou plus élevé. Si aucun autre contrôle de sécurité n'est requis au titre du droit de l'État membre dont relève l'autorité de contrôle concernée, ce fait doit être reconnu par tous les autres États membres.

5.  Chaque autorité de contrôle a le pouvoir d'avertir les autorités judiciaires de toute violation des dispositions adoptées en vertu de la présente directive, d'ester en justice et de saisir la juridiction compétente conformément à l'article 53, paragraphe 2.

6.  Chaque autorité de contrôle a le pouvoir d'imposer des sanctions par rapport à des infractions administratives. [Am. 109]

Article 46 bis

Signalement des violations

1.  Les États membres prévoient que les autorités de contrôle tiennent compte des orientations fournies par le comité européen de la protection des données conformément à l'article 66, paragraphe 4 ter, du règlement (UE) n° .../2014 et mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des violations de la présente directive.

2.  Les États membres prévoient que les autorités compétentes mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des violations de la présente directive. [Am. 110]

Article 47

Rapport d'activité

Les États membres prévoient que chaque autorité de contrôle établit un rapport annuel sur son activité au moins tous les deux ans. Le rapport est mis à la disposition du public, du parlement concerné, de la Commission et du comité européen de la protection des données. Il contient des informations sur la mesure dans laquelle les autorités compétentes dans leur ressort ont eu, à des fins d'enquête et de poursuites concernant des infractions pénales, accès à des données détenues par des tiers privés. [Am. 111]

CHAPITRE VII

COOPÉRATION

Article 48

Assistance mutuelle

1.  Les États membres prévoient que les autorités de contrôle se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer de manière cohérente les dispositions adoptées en vertu de la présente directive, et qu'elles mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes de consultation préalable, d'inspection et d'enquête.

2.  Les États membres prévoient qu'une autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d’une autre autorité de contrôle. Il peut s'agir, notamment, de la transmission d'informations utiles ou de mesures répressives visant à faire cesser ou à interdire les traitements contraires à la présente directive sans tarder et au plus tard un mois après réception de la demande.

2 bis.  La demande d'assistance contient toutes les informations nécessaires, notamment la finalité et les motivations de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

2 ter.  Une autorité de contrôle saisie d'une demande d'assistance ne peut refuser de lui donner suite, à moins:

a)  qu'elle ne soit pas compétente pour la traiter; ou

b)  qu'il soit incompatible avec les dispositions de la présente directive de donner suite à la demande.

3.  L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande de l’autorité de contrôle requérante.

3 bis.  Les autorités de contrôle communiquent, par des moyens électroniques et dans les plus brefs délais, au moyen d'un format standard, les informations demandées par d'autres autorités de contrôle.

3 ter.  Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais. [Am. 112]

Article 48 bis

Opérations conjointes

1.  Les États membres prévoient que pour intensifier la coopération et l'assistance mutuelle, les autorités de contrôle peuvent mettre en œuvre des mesures répressives conjointes et d'autres opérations conjointes auxquelles participent des membres ou des agents des autorités de contrôle d'autres États membres, désignés par celles-ci, pour les opérations se déroulant sur le territoire d'un État membre.

2.  Les États membres prévoient que dans les cas où des personnes concernées dans un autre ou plusieurs autres États membres sont susceptibles de faire l'objet de traitements, l'autorité de contrôle compétente peut être invitée à participer aux opérations conjointes. L'autorité de contrôle compétente peut inviter l'autorité de contrôle de chacun de ces États membres à prendre part à l'opération en cause et, dans le cas où elle y est invitée, donner suite sans délai à toute demande d'une autorité de contrôle souhaitant participer aux opérations.

3.  Les États membres définissent les modalités pratiques des actions de coopération particulières. [Am. 113]

Article 49

Missions du comité européen de la protection des données

1.  Le comité européen de la protection des données institué par le règlement (UE) …./20122014 accomplit les missions suivantes en ce qui concerne les activités de traitement relevant du champ d'application de la présente directive:

(a)  conseiller la Commission les institutions de l'Union sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification de la présente directive;

(b)  examiner, à la demande de la Commission, du Parlement européen ou du Conseil ou de sa propre initiative ou à l'initiative de l'un de ses membres, toute question portant sur l'application des dispositions adoptées en vertu de la présente directive, et émettre des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente desdites dispositions, y compris concernant l'utilisation des pouvoirs d'exécution;

(c)  faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et faire régulièrement rapport à la Commission sur ces mesures;

(d)  communiquer à la Commission un avis sur le niveau de protection assuré dans des pays tiers ou des organisations internationales;

(e)  promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination des opérations conjointes et d'autres activités conjointes lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle;

(f)  promouvoir l'élaboration de programmes de formation conjoints et faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

(g)  promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation, notamment sur la législation et les pratiques en matière de protection des données;

g bis) donner son avis à la Commission sur l'élaboration d'actes délégués et d'actes d'exécution au titre de la présente directive.

2.  Lorsque le Parlement européen, le Conseil ou la Commission consulte consultent le comité européen de la protection des données, elle peut ils peuvent fixer un délai dans lequel il doit lui leur fournir les conseils demandés, selon l'urgence de la question.

3.  Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 57, et il les rend publics.

4.  La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques émises par ledit comité. [Am. 114]

CHAPITRE VIII

RECOURS, RESPONSABILITÉ ET SANCTIONS

Article 50

Droit d'introduire une réclamation auprès d'une autorité de contrôle

1.  Sans préjudice de tout autre recours administratif ou judiciaire, les États membres prévoient que toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant ne respecte pas les dispositions adoptées en vertu de la présente directive.

2.  Les États membres prévoient que tout organisme, organisation ou association qui agit dans l'intérêt général et qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel et qui est a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu de la présente droits ont été violés à la suite du traitement de données à caractère personnel. L'organisation ou l'association doivent être dûment mandatées par la ou les personne(s) concernée(s). [Am. 115]

3.  Les États membres prévoient que tout organisme, organisation ou association visé au paragraphe 2 a le droit, indépendamment d'une réclamation introduite par une personne concernée, de saisir une autorité de contrôle d'une réclamation dans tout État membre s'il considère qu'il y a eu violation de données à caractère personnel.

Article 51

Droit à un recours juridictionnel contre une autorité de contrôle

1.  Les États membres prévoient que toute personne physique ou morale a le droit à de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.

2.  Les États membres prévoient que toute personne concernée a le droit de former un recours juridictionnel en vue d'obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 45, paragraphe 1, point b).

3.  Les États membres prévoient que les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.

3 bis.  Les États membres veillent à ce que les décisions définitives des juridictions visées au présent article soient exécutées. [Am. 116]

Article 52

Droit à un recours juridictionnel contre un responsable du traitement ou un sous‑traitant

1.  Les États membres prévoient que, sans préjudice de tout recours administratif qui lui est ouvert, notamment le droit de saisir une autorité de contrôle d'une réclamation, toute personne physique dispose d'un recours juridictionnel si elle considère qu'il a été porté atteinte aux droits prévus dans les dispositions adoptées en vertu de la présente directive, à la suite du traitement de données à caractère personnel la concernant, effectué en violation desdites dispositions.

1 bis.  Les États membres veillent à ce que les décisions définitives des juridictions visées au présent article soient exécutées. [Am. 117]

Article 53

Règles communes pour les procédures juridictionnelles

1.  Les États membres prévoient que tout organisme, organisation ou association visé à l’article 50, paragraphe 2, est habilité à exercer les droits prévus aux articles 51, et 52 au nom d’une ou de et 54 lorsqu'il est mandaté par une ou plusieurs personnes concernées. [Am. 118]

2.  Les États membres prévoient que chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions adoptées en vertu de la présente directive ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l’Union. [Am. 119]

3.  Les États membres veillent à ce que les voies de recours disponibles dans le droit national permettent l'adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés.

Article 54

Responsabilité et droit à réparation

1.  Les États membres prévoient que toute personne ayant subi un dommage, y compris un dommage non pécuniaire, du fait d'un traitement illicite ou de toute action incompatible avec les dispositions adoptées en vertu de la présente directive a le droit d'obtenir d'exiger du responsable du traitement ou du sous‑traitant réparation du préjudice subi. [Am. 120]

2.  Lorsque plusieurs responsables du traitement ou sous‑traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage.

3.  Le responsable du traitement ou le sous‑traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 55

Sanctions

Les États membres déterminent le régime des sanctions applicables aux violations des dispositions adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour garantir leur application. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives.

Chapitre VIII bis

Transmission de données à caractère personnel à d’autres parties

Article 55 bis

Transmission de données à caractère personnel à d'autres autorités ou à des tiers privés dans l'Union

1.  Les États membres veillent à ce que le responsable du traitement ne transmette pas ni ne charge le sous-traitant de transmettre des données à caractère personnel à une personne physique ou morale qui n’est pas soumise aux dispositions adoptées en vertu de la présente directive, à moins:

a)  que cette transmission soit conforme au droit de l’Union ou des États membres; et

b)  que le destinataire soit établi dans un État membre de l'Union européenne; et

c)  qu'aucun des intérêts spécifiques légitimes de la personne concernée ne s'y oppose; et

d)  que la transmission, dans un cas déterminé, soit nécessaire pour le responsable du traitement qui transmet les données à caractère personnel:

i)  afin qu'il puisse remplir la mission qui lui est légalement confiée; ou

ii)  pour prévenir un danger grave et immédiat pour la sécurité publique; ou

iii)  pour prévenir une atteinte grave aux droits des personnes.

2.  Le responsable du traitement informe le destinataire de la finalité du traitement dont peuvent exclusivement faire l'objet les données à caractère personnel.

3.  Le responsable du traitement informe l'autorité de contrôle de ces transmissions.

4.  Le responsable du traitement informe le destinataire des limitations de traitement et veille au respect de ces limitations. [Am. 121]

CHAPITRE IX

ACTES DÉLÉGUÉS ET ACTES D'EXÉCUTION

Article 56

Exercice de la délégation

1.  Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.  La délégation deLe pouvoir visée d'adopter des actes délégués visé à l'article 25 bis, paragraphe 7, à l'article 28, paragraphe 5, et à l'article 34, paragraphes 3 et 5, est conférée conféré à la Commission pour une durée indéterminée à compter de la date d’entrée en vigueur de la présente directive.

3.  La délégation de pouvoir visée à l'article 25 bis, paragraphe 7, à l'article 28, paragraphe 5, et à l'article 34, paragraphes 3 et 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.  Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

5.  Un acte délégué adopté en vertu de l'article 25 bis, paragraphe 7, de l'article 28, paragraphe 5, et de l'article 34, paragraphes 3 et 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deuxsix mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux six mois à l'initiative du Parlement européen ou du Conseil. [Am. 122]

Article 56 bis

Délai pour l'adoption des actes délégués

La Commission adopte les actes délégués en vertu de l'article 25 bis, paragraphe 7, et de l'article 28, paragraphe 5, au plus tard le [six mois avant la date visée à l'article 62, paragraphe 1]. La Commission peut prolonger de six mois le délai visé au présent paragraphe. [Am. 123]

Article 57

Comité

1.  La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.

2.  Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.

3.  Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) n° 182/2011 s’applique, en liaison avec son article 5. [Am. 124]

CHAPITRE X

DISPOSITIONS FINALES

Article 58

Abrogation

1.  La décision‑cadre 2008/977/JAI est abrogée.

2.  Les références faites à la décision‑cadre abrogée visée au paragraphe 1 s’entendent comme faites à la présente directive.

Article 59

Relation avec les actes de l'Union adoptés antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière

Les dispositions spécifiques à la protection des données à caractère personnel à l'égard du traitement de ces données par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, figurant dans des actes de l'Union adoptés avant la date d'adoption de la présente directive qui régissent le traitement des données à caractère personnel entre États membres et l'accès des autorités des États membres désignées aux systèmes d'information créés en vertu des traités relevant du champ d’application de la présente directive, demeurent inchangées.

Article 60

Relation avec les accords internationaux conclus antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière

Les accords internationaux conclus par les États membres avant l'entrée en vigueur de la présente directive sont modifiés, en tant que de besoin, dans un délai de cinq ans après la date d’entrée en vigueur de la présente directive.

Article 61

Évaluation

1.  La Commission, après avoir demandé l'avis du comité européen de la protection des données, évalue l'application et la mise en œuvre de la présente directive. Elle assure la coordination en coopération étroite avec les États membres et comprend les visites annoncées et non annoncées. Le Parlement européen et le Conseil sont tenus informés durant tout le processus et ont accès à tous les documents pertinents.

2.  Dans un délai de trois deux ans après la date de l'entrée en vigueur de la présente directive, la Commission réexamine d'autres actes adoptés par l'Union européenne qui régissent le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, notamment les actes adoptés par l'Union qui sont mentionnés à l'article 59, afin d'apprécier la nécessité de les mettre en conformité avec la présente directive et de formuler, le cas échéant, les propositions nécessaires et présente des propositions appropriées en vue de modifier ces actes pour assurer une approche cohérente de la protection d'assurer la cohérence et l'homogénéité des règles juridiques relatives au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales relevant du champ d’application de la présente directive.

2 bis.  La Commission présente, dans les deux ans à compter de la date d’entrée en vigueur de la présente directive, des propositions appropriées de révision du cadre juridique applicable au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, en vue d'assurer la cohérence et l'homogénéité des règles juridiques relatives au droit fondamental à la protection des données à caractère personnel dans l'Union.

3.  La Commission présente périodiquement des rapports sur l'évaluation et la révision de la présente directive au Parlement européen et au Conseil, conformément au paragraphe 1. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. Les rapports suivants sont ensuite présentés tous les quatre ans. La Commission soumet, si nécessaire, des propositions appropriées en vue de modifier la présente directive et harmoniser d'autres instruments juridiques. Le rapport est rendu public. [Am. 125]

Article 62

Transposition

1.  Les États membres adoptent et publient, au plus tard le ...(12), les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils notifient immédiatement à la Commission le texte de ces dispositions.

Ils appliquent lesdites dispositions à compter du ...*.

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

2.  Les États membres communiquent à la Commission le texte des principales dispositions de droit interne qu’ils adoptent dans le domaine régi par la présente directive.

Article 63

Entrée en vigueur et application

La présente directive entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 64

Destinataires

Les États membres sont destinataires de la présente directive.

Fait à

Par le Parlement européen Par le Conseil

Le président Le président

(1) JO C 192 du 30.6.2012, p. 7.
(2) Position du Parlement européen du 12 mars 2014.
(3)Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
(4)Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60).
(5)Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(6)Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(7)Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
(8)JO L 176 du 10.7.1999, p. 36.
(9)JO L 53 du 27.2.2008, p. 52.
(10)JO L 160 du 18.6.2011, p. 21.
(11) JO C 369 du 17.12.2011, p. 14.
(12) Deux ans après la date d'entrée en vigueur de la présente directive.

Avis juridique - Politique de confidentialité