Rôle régional du Pakistan et relations politiques de ce pays avec l'Union européenne
150k
61k
Résolution du Parlement européen du 12 mars 2014 sur le rôle régional du Pakistan et les relations politiques de ce pays avec l'Union européenne (2013/2168(INI))
– vu l'article 2 du traité sur l'Union européenne (TUE) et l'article 21 du traité sur le fonctionnement de l'Union européenne (TFUE),
– vu le plan quinquennal de coopération UE-Pakistan de février 2012(1),
– vu le cadre stratégique et le plan d'action de l'Union européenne en faveur des droits de l'homme et de la démocratie (11855/2012) adoptés par le Conseil "Affaires étrangères" le 25 juin 2012(2),
– vu la stratégie européenne de sécurité intitulée "Une Europe sûre dans un monde meilleur", adoptée par le Conseil européen le 12 décembre 2003, et le rapport sur sa mise en œuvre intitulé "Assurer la sécurité dans un monde en mutation" adopté par le Conseil européen les 11 et 12 décembre 2008,
– vu le règlement (UE) n° 978/2012 du Parlement européen et du Conseil du 25 octobre 2012 appliquant un schéma de préférences tarifaires généralisées(3), qui prévoit notamment un régime spécial d’encouragement "en faveur du développement durable et de la bonne gouvernance" (SPG+);
– vu l'annexe VIII du règlement susvisé dressant la liste des principales conventions de l'ONU/OIT relatives aux droits de l'homme et aux droits des travailleurs et celles relatives à l'environnement et aux principes de bonne gouvernance, que le Pakistan a ratifiées et s'est engagé à mettre effectivement en œuvre,
– vu les conclusions du Conseil "Affaires étrangères" du 11 mars 2013 sur le Pakistan,
– vu sa résolution du 7 février 2013 sur les attentats récents contre des auxiliaires médicaux au Pakistan(4), sa résolution du 13 septembre 2012 sur la proposition de règlement du Parlement européen et du Conseil introduisant des préférences commerciales autonomes d'urgence pour le Pakistan(5), et sa résolution du 15 décembre 2011 sur la situation des femmes en Afghanistan et au Pakistan(6), ainsi que la visite effectuée au Pakistan en août 2013 par une délégation de sa sous-commission des droits de l'homme,
– vu le rapport du 18 septembre 2013 de Ben Emmerson, rapporteur spécial des Nations unies sur la promotion et la protection des droits de l'homme et des libertés fondamentales dans la lutte antiterroriste, et le rapport du 13 septembre 2013 de Christof Heyns, rapporteur spécial des Nations unies sur les exécutions extrajudiciaires, sommaires ou arbitraires,
– vu la résolution 68/178 de l'Assemblée générale des Nations unies du 18 décembre 2013 sur la protection des droits de l'homme et des libertés fondamentales dans la lutte contre le terrorisme,
– vu l'article 48 de son règlement,
– vu le rapport de la commission des affaires étrangères et l'avis de la commission du développement (A7-0117/2014),
A. considérant que le rôle stratégique du Pakistan dans la région et ses relations avec ses voisins et avec l'Union européenne revêtent une importance majeure et grandissante pour l'Union européenne, compte tenu de la position centrale du pays au cœur d'un voisinage instable, de sa place centrale dans la sécurité et le développement de l'Asie centrale et méridionale, et de son rôle essentiel dans la lutte contre le terrorisme, la non-prolifération, le trafic de drogue, la traite des êtres humains et d'autres menaces transnationales, qui ont toutes des incidences sur la sécurité et le bien-être des citoyens européens;
B. considérant que les élections législatives de mai 2013 ont marqué le premier passage de pouvoir entre deux gouvernements civils élus dans l'histoire moderne du Pakistan; considérant que le processus démocratique du Pakistan s'appuie sur d'importantes évolutions sociétales, y compris une classe moyenne urbaine grandissante, ainsi qu'une société civile de plus en plus dynamique et des médias indépendants;
C. considérant que les progrès politiques et économiques du pays sont entravés par des problèmes de sécurité omniprésents à l'intérieur du pays et au niveau de la région, tels que l'extrémisme, le fanatisme, les attentats-suicides et les assassinats ciblés, ainsi que par le non-respect des lois dans les zones tribales, exacerbé par la faiblesse des services de répression et du système juridique pénal;
D. considérant que le Pakistan est l'un des pays dont la population non scolarisée est la plus importante au monde, les estimations indiquant que 12 millions d'enfants ne sont pas scolarisés et qu'environ deux tiers des Pakistanaises et la moitié des Pakistanais sont analphabètes; considérant que le pays reste classé au 134e rang sur 135 dans le rapport du Forum économique mondial sur les inégalités entre les sexes;
E. considérant que, selon le Global Climate Risk Index, le Pakistan figure parmi les 12 pays les plus touchés par le changement climatique au cours des vingt dernières années, a connu de graves inondations et sécheresses et est directement concerné par la fonte des glaciers des massifs montagneux de l'Himalaya et du Karakoram;
F. considérant que le Pakistan est un pays semi-industrialisé, qui se range dans la tranche inférieure des pays à revenus intermédiaires et dont environ le tiers de la population vit au-dessous du seuil de pauvreté; qu'il figurait en 2012 au 146e rang sur les 187 pays classés en fonction de l'indicateur de développement humain (IDH), en recul par rapport à 2011 où il était 145e; qu'une succession de catastrophes naturelles est venue détériorer sa situation économique et que le niveau élevé d'insécurité et d'instabilité ainsi qu'une corruption généralisée entravent sa croissance économique et restreignent la capacité des autorités à développer l'État;
G. considérant que le Pakistan est exposé à de nombreux risques, principalement d'inondations et de tremblements de terre; que l'instabilité en matière de sécurité ainsi que les problèmes sociaux que connaît le pays apparaissent comme des catalyseurs qui accroissent encore sa vulnérabilité; que les catastrophes qui se sont succédées depuis de nombreuses années ont conduit à un épuisement des stratégies déployées pour y faire face par des populations déjà appauvries et ont largement entamé la capacité de résistance de ces dernières à de nouvelles catastrophes;
H. considérant que la contribution constructive du Pakistan est essentielle pour parvenir à la réconciliation, à la paix et à la stabilité politique dans son voisinage, et tout particulièrement en Afghanistan, notamment dans le cadre du retrait prévu des troupes de combat de l'OTAN en 2014;
I. considérant que le Pakistan est l'un des principaux bénéficiaires de l'aide au développement et de l'aide humanitaire de l'Union européenne, et que cette dernière est le principal marché d'exportation du pays;
J. considérant que le Pakistan est un partenaire de plus en plus important de l'Union européenne dans la lutte contre le terrorisme, la prolifération nucléaire, la traite des êtres humains, le trafic de drogue et la criminalité organisée ainsi que dans l'établissement souhaité de la stabilité régionale;
K. considérant que l'Union européenne et le Pakistan ont récemment choisi d'approfondir et d'élargir leurs relations bilatérales, comme en témoignent le plan quinquennal de coopération, lancé en février 2012, ainsi que le premier dialogue stratégique UE-Pakistan, tenu en juin 2012;
L. considérant que l'objectif du plan quinquennal de coopération UE-Pakistan adopté en 2012 est d'établir une relation stratégique et de constituer un partenariat pour la paix et le développement fondé sur des valeurs et des principes communs;
M. considérant que, depuis le 1er janvier 2014, le Pakistan est désormais intégré dans le schéma de préférences tarifaires généralisées "SPG+" de l'Union européenne;
N. considérant qu'en septembre 2012, l'usine Ali Enterprises de Karachi, qui produit des jeans pour le marché européen, a été ravagée par le feu, entraînant la mort de 286 travailleurs piégés dans l'incendie; considérant que l'intégration du Pakistan dans le SPG+ pourrait permettre de stimuler la production dans le secteur textile et d'améliorer grandement les droits des travailleurs et les conditions de production;
1. souligne l'importance des élections de mai 2013 pour la consolidation de la démocratie et du régime civil au Pakistan; encourage les élites politiques du Pakistan à tirer parti de cet élan pour renforcer les institutions démocratiques, l'état de droit et l'autorité du pouvoir civil sur tous les domaines de l'administration publique, en particulier les forces de sécurité et la justice, promouvoir la sécurité nationale et régionale, mettre en place des réformes en matière de gouvernance afin de relancer la croissance économique, de renforcer la transparence et la lutte contre la criminalité organisée et de réduire les injustices sociales, et mettre un terme et remédier à toutes les violations des droits de l'homme;
2. estime cependant que l'instauration d'une démocratie durable et d'une société pluraliste, ainsi que l'établissement d'une plus grande justice sociale, l'élimination de la grande pauvreté et de la malnutrition qui touchent certaines zones du pays, l'élévation du niveau d'éducation et la préparation du pays aux effets du changement climatique, passe par des réformes profondes et difficiles de l'ordre politique et socioéconomique du Pakistan, qui reste caractérisé par des structures féodales de propriété foncière et d'allégeances politiques, par des déséquilibres dans les priorités entre les dépenses militaires, d'une part, et la protection sociale, l'éducation et le développement économique, d'autre part, et par un système défaillant de collecte des recettes qui sape fondamentalement la capacité de l'État à produire des biens publics;
3. soutient le gouvernement pakistanais et l'encourage dans ses efforts pour mettre au point des moyens efficaces de prévenir et de surveiller la survenance possible de catastrophes naturelles futures et d'améliorer l'efficacité de la coordination et de la coopération en matière d'aide humanitaire avec les acteurs locaux, les ONG internationales et les collecteurs de fonds;
4. réaffirme que la bonne gouvernance, des institutions responsables et ouvertes, la séparation des pouvoirs et le respect des droits fondamentaux constituent des éléments importants pour résoudre la problématique développement-sécurité au Pakistan; estime par ailleurs que des gouvernements civils élus, dotés d'une légitimité démocratique, la décentralisation de compétences aux provinces et l'efficacité des collectivités locales sont les meilleurs moyens de contenir la vague de violence et d'extrémisme, de rétablir l'autorité de l'État dans les zones tribales sous administration fédérale (FATA), et de garantir la souveraineté et l'intégrité territoriale du Pakistan;
5. soutient, dans ce contexte, la volonté du gouvernement pakistanais d'engager un dialogue de paix avec le Tehrik-e-Taliban Pakistan (TTP), pour autant qu'il ouvre la voie à une solution politique et durable à l'insurrection et à l'instauration d'un ordre démocratique stable, dans le respect des droits de l'homme; invite cependant les négociateurs à tenir compte du fait que le niveau d'éducation – en particulier des femmes – est un facteur absolument capital pour le progrès des sociétés, et de faire de l'instruction des filles un élément essentiel des négociations;
6. reconnaît l'attachement constant du Pakistan à la lutte contre le terrorisme de chaque côté de sa frontière, et encourage les autorités à prendre des mesures plus ambitieuses pour limiter davantage les possibilités de recrutement et d'entraînement des terroristes sur le territoire pakistanais, phénomène qui fait de certaines zones du Pakistan un refuge pour les organisations terroristes dont l'objectif est de déstabiliser le pays et la région, tout particulièrement l'Afghanistan;
7. relève que Hakimullah Mehsud, chef des talibans pakistanais, a été tué par un drone des États-Unis le 1er novembre 2013 et que le parlement pakistanais et le nouveau gouvernement se sont déclarés formellement opposés à de telles interventions, et que le droit international devrait encadrer plus clairement le recours aux attaques de drones;
8. demande au gouvernement pakistanais de remplir ses obligations et d'assumer ses responsabilités en matière de sécurité, en continuant de s'engager dans la lutte contre l'extrémisme, le terrorisme et la radicalisation par la mise en œuvre de mesures de sécurité et une application des lois rigoureuses et sans compromis, ainsi que par des mesures de résorption des inégalités et des problèmes socioéconomiques, qui sont de nature à nourrir la radicalisation de la jeunesse pakistanaise;
9. constate que le gouvernement pakistanais a clairement fait part de son opposition aux attaques de drones américains sur son territoire; se félicite de la résolution de l'Assemblée générale des Nations unies qui demande que le cadre juridique applicable à l'utilisation de drones armés soit précisé;
10. salue la contribution du Pakistan aux processus de consolidation de l'État et de réconciliation en Afghanistan, et notamment l'aide qu'il a apporté pour faciliter la reprise des pourparlers de paix; espère que le Pakistan conservera son attitude positive jusqu'aux élections présidentielles en Afghanistan et au-delà; se dit préoccupé par la concurrence géopolitique entre les puissances voisines désireuses d'exercer une influence en Afghanistan après le retrait des troupes de combat de l'OTAN;
11. exprime l'espoir que le Pakistan jouera un rôle constructif dans la promotion de la stabilité régionale, notamment en ce qui concerne la présence de l'OTAN et des États membres de l'Union en Afghanistan après 2014, en poursuivant les trilogues de coopération en Afghanistan avec l'Inde, la Turquie, la Chine, la Russie et le Royaume-Uni, et en renforçant la coopération régionale dans la lutte contre le trafic d'êtres humains, de drogue et de marchandises;
12. juge encourageants les récents progrès tangibles accomplis dans le dialogue entre le Pakistan et l'Inde, en particulier en ce qui concerne le commerce et les contacts interpersonnels, rendus possibles par l'attitude constructive des deux parties; regrette que les résultats du dialogue restent exposés à la merci d'impondérables, tels que les incidents qui ont lieu sur la ligne de contrôle qui sépare les zones du Cachemire occupées respectivement par le Pakistan et l'Inde; demande aux deux gouvernements de veiller à la bonne organisation des chaînes de commandement, à la responsabilisation du personnel militaire et au dialogue entre les autorités militaires, afin d'éviter que de semblables incidents ne se reproduisent à l'avenir;
13. reconnaît que le Pakistan a un intérêt légitime à l'établissement de relations stratégiques, économiques et énergétiques avec la Chine; estime qu'il importe que le resserrement des relations entre le Pakistan et la Chine renforce la stabilité géopolitique en Asie du Sud;
14. prend acte de la volonté du Pakistan de devenir membre à part entière de l'Organisation de coopération de Shanghaï (OCS), y voyant un signe positif de l'ambition du pays de participer davantage aux initiatives multilatérales; constate cependant l'absence d'un mécanisme de coopération officiel entre l'OCS et l'Union européenne, et attire l'attention sur les divergences qui existent entre leurs bases réglementaires respectives, mais aussi leurs points de vue sur les enjeux mondiaux;
15. est préoccupé par les bruits selon lesquels le Pakistan envisagerait d'exporter des armes nucléaires vers des pays tiers; attend de l'Union européenne et de ses États membres, malgré le démenti officiel opposé à ces bruits, qu'ils fassent clairement savoir au Pakistan que l'exportation d'armes nucléaires est inacceptable; invite le Pakistan, pays disposant de l'arme nucléaire, d'interdire par la loi l'exportation de tout matériel ou savoir-faire lié aux armes nucléaires et de concourir activement aux initiatives internationales de non-prolifération; estime que la signature et la ratification du traité de non-prolifération par le Pakistan – de même que par l'Inde – seraient le signe manifeste d'un engagement résolu en faveur de la cohabitation régionale pacifique et contribueraient grandement à renforcer la sécurité de l'ensemble de la région;
16. estime que la lutte contre l'extrémisme et le radicalisme est directement liée au renforcement du processus démocratique et réaffirme le fort intérêt et l'appui continu de l'Union européenne en faveur d'un Pakistan démocratique, sûr et bien gouverné, doté d'un système judiciaire indépendant et d'une bonne gouvernance, qui respecte l'état de droit et les droits de l'homme, entretienne des relations amicales avec ses voisins et exerce une influence stabilisatrice dans la région;
17. rappelle que les relations entre l'Union européenne et le Pakistan se sont traditionnellement inscrites dans un cadre axé sur le développement et le commerce; mesure la contribution substantielle et durable de la coopération au développement et de l'aide humanitaire de l'Union, et salue la décision de faire bénéficier le Pakistan du régime SPG+ à partir de 2014; demande au Pakistan de respecter scrupuleusement les conditions dont il est assorti et invite la Commission à veiller l'application stricte de la surveillance renforcée prévue dans le cadre du nouveau règlement SPG, et souligne que la coopération, en particulier dans les domaines de l'éducation, du renforcement de la démocratie et de l'adaptation au changement climatique, doit rester prioritaire;
18. est convaincu que les relations entre l'Union européenne et le Pakistan ont besoin d'être approfondies et étendues grâce au développement du dialogue politique, permettant ainsi d'entretenir des rapports d'intérêt commun entre partenaires égaux; salue, à cet égard, l'adoption du plan quinquennal de coopération UE-Pakistan et le lancement du dialogue stratégique UE-Pakistan, témoignant de l'importance accrue de la coopération sur le plan politique et en matière de sécurité, y compris dans les domaines de la lutte contre le terrorisme, du désarmement et de la non-prolifération, ainsi que sur les migrations, l'éducation et la culture; espère toutefois que davantage de progrès seront accomplis dans tous les domaines du plan de coopération;
19. encourage tant l'Union européenne que le Pakistan à coopérer dans la mise en œuvre et à suivre régulièrement les progrès accomplis en renforçant le dialogue des deux parties sur le long terme;
20. estime que la transition démocratique du Pakistan a donné la possibilité à l'Union européenne d'adopter une approche politique plus affirmée dans les relations bilatérales et la fourniture d'aide; estime que le soutien de l'Union au Pakistan devrait cibler en priorité la consolidation des institutions démocratiques à tous les niveaux, le renforcement de la capacité de l'État et de la bonne gouvernance, l'établissement de structures de lutte contre le terrorisme répressives et civiles efficaces, avec en particulier une justice indépendante, ainsi que le renforcement de la société civile et la liberté des médias;
21. salue à cet égard les vastes programmes de soutien à la démocratie déjà en place dans le cadre de la mise en œuvre des recommandations de 2008 et 2013 des missions d'observation des élections de l'Union;
22. invite le SEAE et la Commission à mettre en œuvre une politique nuancée et multidimensionnelle à l'égard du Pakistan, qui garantisse la synergie de tous les instruments utiles à la disposition de l'Union, tels que le dialogue politique, la coopération en matière de sécurité, le commerce et l'aide, conformément à l'approche globale de l'Union concernant l'action extérieure et en vue de la préparation du prochain sommet UE-Pakistan;
23. invite le SEAE, la Commission et le Conseil à veiller également à ce que la politique de l'Union à l'égard du Pakistan soit contextualisée et s'insère dans une stratégie plus large pour la région, renforçant ainsi les intérêts de l'Union européenne en Asie centrale et méridionale; juge important que les relations bilatérales de l'Union avec le Pakistan et ses pays voisins, en particulier l'Inde, la Chine et l'Iran, servent également à examiner et à coordonner les politiques concernant la situation en Afghanistan, afin de garantir une approche fine; souligne, à cet égard, la nécessité de renforcer la coordination des politiques et le dialogue entre l'Union européenne et les États-Unis sur les questions régionales;
24. estime que l'avenir des relations entre l'Union européenne et le Pakistan devrait également être envisagé dans le contexte de l'évolution des outils institutionnels de l'Union en matière d'engagement à l'égard des pays tiers, en particulier selon la formule des partenariats stratégiques; réitère son appel en faveur d'une amélioration conceptuelle la formule, et en faveur de critères plus clairs et plus cohérents pour déterminer, entre autres, si, et dans quelles conditions, le Pakistan pourrait à l'avenir être considéré comme un partenaire stratégique de l'Union;
25. rappelle avec force que les progrès dans les relations bilatérales sont liés à l'amélioration de la situation des droits de l'homme au Pakistan, en particulier en ce qui concerne l'éradication du travail forcé, du travail des enfants et de la traite des êtres humains, la lutte contre les violences sexistes, le renforcement des droits des femmes et des filles, notamment en matière d'accès à l'éducation, la garantie de la liberté d'expression et de l'indépendance des médias, la promotion de la tolérance et de la protection des minorités vulnérables en menant une lutte efficace contre toutes les formes de discrimination; constate qu'à cette fin, il est nécessaire de mettre fin à la culture de l'impunité et d'instaurer un système juridique et judiciaire fiable à tous les niveaux, qui soit accessible à tous;
26. reste vivement préoccupé par la qualité de l'éducation et, dans le même contexte, par la situation alarmante des femmes dans de nombreuses régions du Pakistan; demande des mesures concrètes et visibles pour assurer le respect des droits fondamentaux des femmes au sein de la société, notamment la promulgation de lois contre la violence domestique, l'adoption de mesures pour améliorer les enquêtes et les poursuites dans les affaires de crimes d'honneur et de vitriolages et une révision des lois qui favorisent l'impunité; souligne qu'il est nécessaire d'améliorer l'accès à l'éducation, l'intégration des femmes sur le marché du travail et les soins de santé à destination des mères;
27. se déclare une fois de plus profondément préoccupé par le fait que les lois pakistanaises sur le blasphème, qui peuvent entraîner des condamnations à mort et qui servent souvent à justifier la censure, les incriminations, les persécutions et, dans certains cas, les assassinats dont sont victimes des membres de minorités politiques et religieuses, ouvrent la voie à des abus qui touchent les personnes de toutes confessions; souligne que le refus de réformer ou d'abroger ces lois maintient les minorités dans une situation de vulnérabilité permanente; demande aux autorités pakistanaises de mettre en œuvre un moratoire sur l'application de ces lois, qui constituerait une première étape préalable à leur révision ou à leur révocation, ainsi que de procéder à des enquêtes et d'engager des poursuites, le cas échéant, en ce qui concerne les campagnes d'intimidation, les menaces et les violences dont sont victimes les chrétiens, les ahmadis et d'autres groupes vulnérables;
28. invite en particulier les autorités pakistanaises à appréhender et à poursuivre les personnes qui incitent à la violence, ou qui sont responsables d'attaques violentes contre les écoles ou les groupes minoritaires comme les chiites, y compris les Hazaras, les ahmadis et les chrétiens, et à charger les forces de sécurité de protéger activement les personnes confrontées à ces attaques de groupes extrémistes; à promulguer des lois contre la violence domestique; et à mettre un terme aux disparitions forcées, aux exécutions extrajudiciaires et aux détentions arbitraires, notamment dans le Baloutchistan;
29. condamne toutes les agressions commises contre les chrétiens et les autres minorités religieuses vivant au Pakistan et attend du Pakistan qu'il intensifie ses efforts pour préserver la liberté de religion et de conviction, notamment en assouplissant les dispositions de sa législation sévère contre le blasphème, et en s'acheminant vers l'abolition de la peine de mort;
30. salue l'adoption en 2012 du projet de loi tendant à créer une commission nationale des droits de l'homme et prie instamment le gouvernement de la mettre en place afin qu'elle puisse commencer ses activités;
31. souligne que l'Union européenne est le principal destinataire des exportations pakistanaises (22,6 % en 2012); estime que le soutien de l'Union au Pakistan en matière commerciale devrait contribuer à encourager la diversification et le développement des modes de production, y compris en matière de transformation, fournir une aide à l'intégration régionale et aux transferts de technologie, faciliter l'émergence ou le développement de capacités de production locale et réduire les inégalités de revenus;
32. rappelle que le SPG+ de l'Union, dont le Pakistan bénéficie depuis 2014, est uniquement accordé aux pays qui ont accepté de mettre en œuvre, de manière contraignante, les droits de l'homme, les droits des travailleurs et les conventions en matière d'environnement et de bonne gouvernance reconnus au niveau international; souligne en particulier les obligations du Pakistan en vertu des conventions énumérées à l'annexe VIII et rappelle à la Commission son obligation de contrôler leur mise en œuvre effective; rappelle également que lorsqu'un pays "ne respecte pas ses engagements contraignants", le bénéfice du SPG+ est temporairement retiré;
33. demande aux autorités pakistanaises de prendre des mesures efficaces en vue de l'application des 36 conventions de l'OIT ratifiées par le pays afin, notamment, de permettre l'activité des syndicats, d'améliorer les conditions de travail et les normes de sécurité, d'éradiquer le travail des enfants et de lutter contre les formes d'exploitation les plus graves des quelque trois millions de femmes employées de maison;
34. invite le gouvernement pakistanais à rejoindre le programme "Better Work" mené par l'OIT et la Société financière internationale (IFC), comme promis, moyen supplémentaire de stimuler les améliorations dans le domaine des normes de santé et de sécurité pour les travailleurs; invite tous les acteurs qui ont une responsabilité directe ou indirecte dans l'incendie de l'usine textile Ali Enterprises, y compris l'entreprise d'audit de responsabilité sociale et les détaillants européens concernés, à enfin verser aux survivants de l'incendie une indemnisation totale, juste et à long terme;
35. charge son Président de transmettre la présente résolution au gouvernement et à l'assemblée nationale du Pakistan, au Conseil, à la Commission, à la vice-présidente de la Commission/haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, au représentant spécial de l'Union européenne pour les droits de l'homme et aux gouvernements des États membres.
Résolution du Parlement européen du 12 mars 2014 sur le bouclier antimissiles pour l'Europe et ses implications politiques et stratégiques (2013/2170(INI))
– vu l'article 42, paragraphe 7, du traité sur l'Union européenne (traité UE) et l'article 222 du traité sur le fonctionnement de l'Union européenne (traité FUE),
– vu l'article 24 et l'article 42, paragraphe 2, du traité UE, les articles 122 et 196 du traité FUE et la déclaration 37 ad article 222 du traité FUE,
– vu la stratégie européenne de sécurité adoptée par le Conseil européen le 12 décembre 2003 et son rapport de mise en œuvre, approuvé par le Conseil européen des 11 et 12 décembre 2008,
– vu la stratégie de sécurité intérieure de l'Union européenne, approuvée par le Conseil européen des 25 et 26 mars 2010,
– vu les conclusions du Conseil européen du 19 décembre 2013 sur la politique de sécurité et de défense commune,
– vu le concept stratégique pour la défense et la sécurité des membres de l'Organisation du traité de l'Atlantique Nord, adopté lors du sommet de l'OTAN à Lisbonne des 19 et 20 novembre 2010,
– vu la Déclaration du sommet de Chicago publiée par les chefs d'État et de gouvernement participant à la réunion du Conseil de l'Atlantique Nord, tenue à Chicago le 20 mai 2012,
– vu l'article 48 de son règlement,
– vu le rapport de la commission des affaires étrangères (A7-0109/2014),
A. considérant que la question de la défense antimissile balistique a déjà été abordée par le passé, mais qu'elle est devenue une question d'actualité ces dernières années en raison de la multiplication des menaces découlant de la prolifération des armes nucléaires et d'autres armes de destruction massive, ainsi que de la prolifération des missiles balistiques auxquelles l'Organisation du traité de l'Atlantique Nord (OTAN) et ses alliés européens doivent pouvoir répondre de manière efficace;
B. considérant que la défense contre les attaques de missiles balistiques ou d'autres types de missiles peut constituer une avancée pour la sécurité européenne dans le contexte fortement évolutif de la sécurité internationale, face au développement par plusieurs acteurs étatiques et non étatiques de technologies de missiles et de différentes capacités chimiques, biologiques, radiologiques ou nucléaires (ci-après "CBRN") à même de frapper le territoire européen;
C. considérant que l'OTAN développe actuellement une capacité de défense antimissile balistique afin de mener à bien sa mission essentielle de défense collective, qui vise à assurer une couverture et une protection complètes à toutes les populations, tous les territoires et toutes les forces armées des pays européens membres de l'OTAN contre les menaces croissantes que représente la prolifération de missiles balistiques;
D. considérant que la contribution essentielle des États-Unis à la défense antimissile balistique est la confirmation de son engagement à l'égard de l'OTAN et de la sécurité de l'Europe et de ses alliés, et souligne l'importance du lien transatlantique, des installations étant d'ores et déjà en place en Roumanie et d'autres étant prévues pour la Pologne dans un avenir proche;
E. considérant que la politique de sécurité et de défense commune sera développée en pleine complémentarité avec l'OTAN, dans le cadre convenu du partenariat stratégique entre l'Union européenne et l'OTAN, comme l'a confirmé le Conseil européen du 19 décembre 2013;
1. affirme qu'au fur et à mesure du développement et de la mise en œuvre des technologies de défense antimissile balistique, la sécurité européenne doit faire face à de nouvelles dynamiques, d'où la nécessité pour les États membres de tenir compte des implications de la défense antimissile balistique pour leur sécurité;
2. rappelle que les mesures prises par l'OTAN en matière de défense antimissile balistique sont élaborées et mises en place pour défendre ses membres contre d'éventuelles attaques de missiles balistiques; invite la vice-présidente/haute représentante à poursuivre un partenariat stratégique avec l'OTAN, en tenant compte de la question de la défense antimissile balistique, ce qui devrait déboucher sur une couverture et une protection complètes de tous les États membres de l'Union, évitant ainsi une situation où la sécurité offerte à ces derniers serait à géométrie variable;
3. se félicite de l'achèvement de la capacité intérimaire de défense antimissile balistique de l'OTAN, qui offrira une couverture maximale dans la limite des moyens disponibles pour défendre les populations, les territoires et les forces déployées dans les pays européens méridionaux membres de l'OTAN contre une attaque de missiles balistiques; se félicite également de l'objectif de mettre en place une couverture et une protection complètes pour tous les membres européens de l'OTAN d'ici la fin de la décennie;
4. souligne que les initiatives de l'Union européenne, telles que la mise en commun et le partage des ressources, devraient se révéler utiles en vue de renforcer la coopération des États membres dans le domaine de la défense antimissile balistique, y compris pour la réalisation de travaux conjoints de recherche et développement; souligne qu'à long terme, une telle coopération pourrait également contribuer à une consolidation accrue de l'industrie européenne de la défense;
5. invite le Service européen pour l'action extérieure, la Commission, l'Agence européenne de défense et le Conseil à tenir compte à l'avenir des aspects de la défense antimissile balistique dans les stratégies, les études et les livres blancs dans le domaine de la sécurité;
6. souligne qu'en raison de la crise financière et des restrictions budgétaires, les ressources utilisées pour maintenir des capacités de défense adéquates ne sont pas suffisantes, ce qui entraîne une réduction des capacités militaires et industrielles de l'Union européenne;
7. souligne que le plan de défense antimissile balistique de l'OTAN n'est en aucun cas dirigé contre la Russie et que l'OTAN est prête à coopérer avec ce pays sur la base de la coexistence de deux systèmes indépendants de défense antimissile: celui de l'OTAN et celui de la Russie; met en exergue le fait que, bien qu'une coopération effective avec la Russie puisse apporter des avantages tangibles, celle-ci doit être développée en conformité avec les principes de réciprocité et de transparence totales, un renforcement de la confiance mutuelle étant essentiel pour la réussite de cette coopération, observe, à cet égard, que le transfert de missiles russes vers les frontières de l'OTAN et de l'Union européenne est contreproductif;
8. charge son Président de transmettre la présente résolution au président du Conseil européen, à la vice-présidente de la Commission/haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, au Conseil, à la Commission, aux parlements des États membres, à l'Assemblée parlementaire de l'OTAN et au Secrétaire général de l'OTAN.
Le secteur européen de la pêche et l'accord de libre échange entre l'Union européenne et la Thaïlande
135k
50k
Résolution du Parlement européen du 12 mars 2014 sur la situation et les perspectives d'avenir du secteur européen de la pêche dans le cadre de l'accord de libre-échange entre l'Union européenne et la Thaïlande (2013/2179(INI))
– vu l'article 3, paragraphe 5, du traité sur l'Union européenne sur les relations de l'UE avec le reste du monde,
– vu le règlement (CE) nº 1005/2008 du Conseil du 29 septembre 2008 établissant un système communautaire destiné à prévenir, à décourager et à éradiquer la pêche illicite, non déclarée et non réglementée(1), ci-après dénommé règlement INN,
– vu la communication de la Commission du 25 octobre 2011 intitulée "Responsabilité sociale des entreprises: une nouvelle stratégie de l'UE pour la période 2011-14" (COM(2011)0681),
– vu les questions écrites E-000618/2013 du 22 janvier 2013 sur les abus dans les chaînes d'approvisionnement du commerce de détail et E-002894/2013 du 13 mars 2013 sur l'accord de libre-échange avec la Thaïlande et le travail des enfants dans le secteur des conserveries, et les réponses apportées par la Commission,
– vu sa résolution du 22 novembre 2012 sur la dimension extérieure de la politique de la pêche(2),
– vu l'article 48 de son règlement,
– vu le rapport de la commission de la pêche et l'avis de la commission du commerce international (A7-0130/2014),
A. considérant que le secteur européen de la pêche est en train d'émerger d'une période de crise qui touche les secteurs de la capture, de la transformation et de l'aquaculture, et que cette situation affaiblit considérablement sa position concurrentielle, d'autant plus que le marché mondial est en cours de libéralisation et que certains pays en développement dont les ressources marines sont abondantes commencent à devenir les nouvelles puissances du secteur de la pêche;
B. considérant que l'industrie européenne de la pêche et de la transformation est essentielle pour l'approvisionnement des citoyens de l'UE en denrées alimentaires et pour soutenir les moyens de subsistance des zones côtières, fortement dépendantes de ces activités; Considérant que la survie du secteur sera mise en danger si l'Union européenne libéralise le commerce des produits de la pêche avec les pays en développement souhaitant exporter leurs produits vers l'important marché de l'UE, en particulier si elle octroie un droit zéro;
C. considérant que l'Union est le principal importateur mondial de produits de la pêche et que sa dépendance à l'égard des importations rend le marché de l'UE très attrayant pour les exportateurs, d'autant plus si l'on tient compte du fait que la demande de produits de la pêche dans l'Union augmente de 1,5 % par an;
D. considérant que la Thaïlande est le premier pays producteur de conserves de thon au monde, avec 46 % de la production mondiale, et que ses exportations de conserves de thon vers l'Union dépassent les 90 000 tonnes annuelles et représentent près de 20 % du total des importations de l'UE en provenance de pays tiers, les États-Unis, l'Union et le Japon étant les principaux marchés de destination des exportations des produits de la pêche thaïlandais;
E. considérant que la Thaïlande est le principal importateur mondial de thon frais, réfrigéré et congelé pour son industrie de la conserve;
F. considérant que 80 % du thon est consommé en conserve et que, d'après les dernières informations disponibles dans la base de données FISHSTAT de l'Organisation des Nations unies pour l'alimentation et l'agriculture (FAO), 21 % de la production mondiale de conserves et de préparation à base de thon s'effectuent dans l'Union, alors que les 79 % restants sont fabriqués dans des pays tiers, en majorité des pays en développement;
G. vu l'importance commerciale, économique et stratégique que revêt la Thaïlande pour l'Union, et les avantages considérables qu'apportera l'accord de libre-échange (ALE) entre l'Union et la Thaïlande à l'ensemble de l'économie de l'Union;
H. considérant que l'UE soutient le mouvement d'intégration régionale auquel participent les pays de l'Association des nations de l'Asie du Sud-Est (ANASE) et que l'ALE avec la Thaïlande constitue un jalon essentiel dans ce processus, dont l'objectif ultime est de conclure, à terme, un accord de libre-échange interrégional;
I. considérant que, pour l'Union, la conclusion d'un accord de libre-échange UE-ANASE est un objectif prioritaire depuis 2007, avec l'espoir d'inclure l'Indonésie, la Malaisie, les Philippines, Singapour, la Thaïlande, le Brunei et le Viêt Nam; considérant que l'absence d'avancées dans les négociations de cet accord régional provoque l'ouverture de négociations bilatérales avec des pays membres de l'ANASE, comme la Thaïlande, avec un engagement politique de conclure l'ALE dans un délai de deux ans;
J. considérant que si la Thaïlande, l'Indonésie et les Philippines sont inclus dans la région du Pacifique central et occidental, la production de conserves de thon dans la région représente près de la moitié de la production mondiale;
K. considérant que les changements concernant les producteurs de conserves de thon et la production de longes vont de pair avec la tendance à l'approvisionnement mondial auprès de pays transformateurs ayant de faibles coûts de production, situés à proximité de la matière première (par exemple, la Thaïlande, les Philippines, l'Indonésie, la Papouasie - Nouvelle-Guinée et l'Équateur), et que le nombre de pays participant à la production et à l'exportation de thon en conserve est en augmentation;
L. considérant que la Thaïlande et les Philippines sont les principaux exportateurs de préparations et de conserves de thon vers l'Union, les importations en provenance de Thaïlande ayant augmenté de 20 %, tandis que celles en provenance des Philippines ont diminué de 5 %;
M. considérant qu'une réduction tarifaire pour les conserves et les préparations de thon pourrait avoir une incidence sur les préférences pour les pays du groupe des États d’Afrique, des Caraïbes et du Pacifique (ACP) et les bénéficiaires du système de préférences généralisées (SPG+), en vertu duquel les pays tiers bénéficiaires s'engagent, en échange de l'obtention de préférences tarifaires, à respecter certaines politiques, telles que le respect des droits de l'homme, du travail, de l'environnement et de la bonne gouvernance;
N. considérant que la réduction tarifaire fausserait aussi le marché de l'Union, étant donné que l'industrie de la conserve de thon dans l'Union est principalement située dans des régions fortement dépendantes de la pêche, comme la Galice, la Bretagne, les Açores (une région ultrapériphérique), le Pays basque et la Sardaigne; considérant que l'industrie thonière de l'UE est le deuxième producteur mondial de thon en conserve et que son activité traditionnelle est essentielle aussi bien pour la création de valeur ajoutée que pour la création d'emplois sur le territoire de l'Union, en assurant les plus hautes normes sociales, environnementales, sanitaires et d'hygiène;
O. considérant que les règles d'origine préférentielles visent principalement à établir l'existence d'un lien économique suffisant entre les produits importés dans l'Union et les pays bénéficiaires des préférences accordées par celle-ci, de manière à assurer que ces préférences ne soient pas indûment détournées au profit d'autres pays auxquels elles n'étaient pas destinées;
P. considérant que toute discussion portant sur le commerce des produits de la pêche renvoie au commerce d'une ressource naturelle dont la pérennité est influencée par des facteurs très divers, y compris une bonne gestion et l'exploitation durable des ressources de pêche, et le contrôle de la pêche illicite, la pollution, le changement climatique et la demande du marché; considérant que tous ces facteurs externes ont des conséquences sur les échanges internationaux des produits de la pêche et que les produits de la pêche doivent donc être considérés comme des produits sensibles susceptibles de faire l'objet d'une protection spéciale;
Q. considérant qu'un approvisionnement suffisant et constant en matières premières est essentiel pour le maintien et le développement économique des entreprises de transformation du thon dans l'Union;
R. considérant que l'Organisation mondiale du commerce (OMC) considère que le libre-échange est un instrument de croissance qui vise à assurer le développement durable dans ses trois piliers (social, économique et environnemental);
S. considérant à cet égard, que les règles commerciales sont, par conséquent, un élément essentiel et fondamental pour assurer un commerce avantageux ainsi que pour atteindre les objectifs de protection de la santé et de l'environnement, tout en garantissant la bonne gestion des ressources naturelles;
T. considérant que la mondialisation a considérablement augmenté la quantité de poisson commercialisé au niveau international et qu'il existe une crainte généralisée que de nombreux pays producteurs n'aient pas les moyens de gérer et/ou d'exploiter les stocks halieutiques de manière durable, d'assurer un niveau de protection approprié de la santé et de l'hygiène, d'atténuer les incidences environnementales de la pêche et de l'aquaculture et de veiller au respect des droits de l'homme en général, ainsi que de promouvoir les droits du travail et les conditions sociales en particulier;
U. considérant que certains des partenaires commerciaux de l'Union montrent des faiblesses en matière de développement durable de la pêche dans ses trois dimensions: sociale, économique et environnementale;
V. considérant que la gestion durable des stocks de thon est assurée par les cinq organisations régionales de pêche (ORP) thonières; Considérant que la collaboration internationale entre les États et les ORP est essentielle pour assurer la pérennité des stocks de thon;
W. considérant que, récemment, l'OIT et diverses ONG ont révélé de graves lacunes de l'industrie thaïlandaise de la pêche en matière de conditions sociales, de travail et de respect des droits de l'homme; considérant que les médias ont mis en évidence et que le gouvernement la Thaïlande a reconnu que certains secteurs de l'industrie de la pêche thaïlandaise bénéficient du travail forcé d'immigrés qui sont victimes de la traite des êtres humains, et que deux conserveries multinationales de thon thaïlandaises ont recours au travail des enfants;
X. considérant que, d'après la FAO, il est fréquent que des bateaux de pêche thaïlandais soient saisis par les États côtiers voisins, et les capitaines accusés de pêche illicite ou d'intrusion illégale dans leur zone économique exclusive;
Y. considérant qu'en 2013, les autorités espagnoles ont refusé le débarquement et la commercialisation de thonidés provenant de thoniers battant pavillon ghanéen impliqués dans la pêche illicite, non déclarée et non réglementée (INN), étant donné qu'ils ne respectaient pas les mesures de gestion de la Commission internationale pour la conservation des thonidés de l'Atlantique et considérant que la plupart de ces thoniers pouvaient compter sur la participation d'entreprises privées de Thaïlande;
Z. considérant que, ces derniers mois, l'Union a refusé de nombreux lots de conserves de thon importés de Thaïlande en raison de leur mauvais traitement thermique, un traitement fondamental pour neutraliser les micro-organismes, qui représenteraient sinon un risque pour la santé humaine;
1. demande que les produits à base de poisson, tels que le thon en boîte, importés de Thaïlande et susceptibles de déstabiliser la production et le marché de l'Union dans ce secteur soient considérés comme des produits sensibles; estime par ailleurs que toute décision concernant l'accès renforcé au marché du thon transformé et mis en conserve en Thaïlande ne devrait être prise qu'après la réalisation d'analyses d'impact approfondies et en consultation étroite avec les entreprises du secteur, afin que puissent être analysées et évaluées les incidences éventuelles d'un accès amplifié sur l'industrie de transformation et sur la commercialisation des produits issus de la mer dans l'Union;
2. demande que l'accès des conserves et des préparations à base de poisson et de fruits de mer thaïlandais au marché de l'Union continue à être soumis au tarif douanier actuel et que ces produits soient donc exclus de la libéralisation tarifaire; recommande de mettre en place, pour les conserves et les préparations à base de poisson et de fruits de mer, de longues périodes de transition ou des engagements de libéralisation partielle, comprenant notamment l'imposition de quotas, si la libéralisation tarifaire était introduite, afin d'assurer la compétitivité de l'industrie thonière de l'UE et de préserver l'importante activité et la dimension sociale (25 000 emplois directs et 54 000 emplois indirects) qu'elle représente sur le territoire de l'Union;
3. exige que, le cas échéant et avant d'appliquer une quelconque concession tarifaire ou toute autre règle, des analyses d'impact rigoureuses soient menées pour analyser et évaluer les conséquences que ces mesures pourraient avoir sur l'industrie de la transformation et sur la commercialisation des produits de la mer dans l'Union;
4. préconise le respect total de règles d'origine rigoureuses, cohérentes et infaillibles pour les produits sensibles à base de poisson, sans aucune dérogation, et la stricte limitation du cumul aux produits pour lesquels la Thaïlande est principalement, dans ce domaine, un pays de transformation davantage qu'un pays de pêche;
5. demande instamment que les importations de thon en boîte et d'autres produits à base de poisson en provenance de la Thaïlande soient soumises, dans toute la mesure du possible, aux mêmes conditions de concurrence que les produits semblables issus de l'Union; estime que cette demande implique en particulier l'inclusion dans l'ALE d'un chapitre ambitieux sur le commerce et le développement durable, par lequel la Thaïlande s'engage à respecter, à promouvoir et à appliquer les normes de travail internationalement reconnues, telles qu'elles sont inscrites dans les conventions fondamentales de l'Organisation internationale du travail, notamment eu égard au travail forcé et au travail des enfants; affirme également que le respect des droits de l'homme, la protection de l'environnement, et la conservation et l'exploitation durable des ressources de pêche, la lutte contre la pêche illicite, non déclarée et non réglementée et le respect des normes sanitaires et phytosanitaires de l'Union doivent être rigoureusement garantis; est d'avis, à cet égard, que la Commission devrait régulièrement faire rapport au Parlement sur le respect des obligations précitées par la Thaïlande;
6. invite la Commission à s'assurer de l'application effective du règlement relatif à la pêche illicite, non déclarée et non réglementée et à faire en sorte que les négociations relatives à l'ALE aboutissent à l'insertion d'une référence explicite audit règlement dans le texte de l'accord;
7. considère que la meilleure façon d'assurer la pleine coopération de la Thaïlande dans la lutte contre la pêche INN est d'insérer une référence explicite au règlement INN dans le texte de l'ALE;
8. demande d'introduire dans l'ALE l'exigence du respect des conventions de l'Organisation internationale du travail, ainsi qu'une transparence, un contrôle, une surveillance et une traçabilité accrus dans le secteur de la pêche thaïlandais, afin de permettre le suivi des activités de pêche;
9. exhorte à assurer la traçabilité des produits en tant qu'élément essentiel pour la protection de la santé humaine et de l'environnement, tout en étant un facteur essentiel servant d'outil fondamental pour contrôler la pêche illicite;
10. exige que l'ALE préserve la cohérence avec les autres politiques de l'UE ainsi que la promotion de stratégies de responsabilité sociale des entreprises; appelle à la mise en place de clauses de sauvegarde;
11. souligne que, lorsqu'il sera appelé à donner son approbation à l'ALE, le Parlement tiendra compte, dans sa décision, du résultat général des négociations, y compris celles qui concernent le secteur de la pêche;
12. exige la réciprocité en ce qui concerne l'accès aux marchés et l'élimination de toutes les formes de discrimination dans le domaine des services;
13. forme le souhait que la Thaïlande, premier exportateur mondial de conserves de thon, participe et collabore avec les trois ORP thonières de la région, à savoir la Commission interaméricaine du thon tropical, la Commission des pêches pour le Pacifique occidental et central et l'Organisation régionale de gestion des pêches du Pacifique Sud, et avec l'ORP thonière de l'océan Indien, de laquelle elle est membre;
14. plaide pour l'existence d'une politique de conservation et de gestion durable des ressources halieutiques;
15. charge son Président de transmettre la présente résolution au Conseil et à la Commission.
– vu le rapport de sa commission de l'environnement, santé publique et sécurité alimentaire sur la proposition de règlement du Parlement européen et du Conseil concernant l'information des consommateurs sur les denrées alimentaires (COM(2008)0040),
– vu le rapport de l'Unesco sur la nutrition de 2002,
– vu le rapport de l'Organisation mondiale de la santé (OMS) intitulé "Food and Nutrition Policy for Schools",
– vu le Livre blanc de la Commission du 30 mai 2007 intitulé "Une stratégie européenne pour les problèmes de santé liés à la nutrition, la surcharge pondérale et l'obésité" (COM(2007)0279),
– vu les conclusions de la Conférence ministérielle européenne de l'OMS sur "la nutrition et les maladies non transmissibles dans le contexte de Santé 2020", qui s'est tenue à Vienne les 4 et 5 juillet 2013,
– vu la convention de l'Unesco pour la sauvegarde du patrimoine culturel immatériel du 17 octobre 2003,
– vu l'inscription de la diète méditerranéenne sur la liste représentative du patrimoine culturel immatériel de l'Unesco le 16 novembre 2010 et le 4 décembre 2013,
– vu l'inscription du repas gastronomique des Français sur la liste représentative du patrimoine culturel immatériel de l'Unesco (décision 5.COM 6.14),
– vu l'article 48 de son règlement,
– vu le rapport de la commission de la culture et de l'éducation (A7-0127/2014),
Aspects liés à l'éducation
A. considérant que l'état de santé et le bien-être de la population, aussi bien présents que futurs, sont profondément conditionnés par l'alimentation et par l'environnement, et donc par le type d'agriculture, de pêche et d'élevage;
B. considérant que l'OMS, dans le cadre de son initiative mondiale pour la santé à l'école, estime que les établissements éducatifs constituent un espace essentiel pour l'acquisition de connaissances théoriques et pratiques sur la santé, la nutrition, l'alimentation et la gastronomie;
C. considérant que la mauvaise alimentation peut avoir des conséquences dramatiques; considérant que les ministres européens de la Santé ont appelé, lors de la Conférence ministérielle européenne de l'OMS de juillet 2013, à une large mobilisation "pour lutter contre l'obésité et la mauvaise alimentation", lesquels sont à l'origine d'une épidémie de maladies non transmissibles comme les affections cardiovasculaires, le diabète, ou le cancer;
D. considérant que l'image normée du corps et de la nourriture dans la société peut entrainer de graves troubles alimentaires et psychologiques comme l'anorexie ou la boulimie; considérant dès lors qu'il est important d'aborder ces questions, en particulier avec les adolescents;
E. considérant que, selon le Conseil européen d'information alimentaire (EUFIC), environ 33 millions de personnes en Europe étaient exposées à des risques de malnutrition en 2006; considérant que la situation s'est encore aggravée depuis les débuts de la crise;
F. considérant que l'enfance est une période déterminante pour inculquer des comportements et des connaissances favorisant l'adoption d'un style de vie sain, et que l'école est un des endroits qui permettent de mettre en œuvre des actions efficaces en vue d'inculquer aux futures générations des comportements sains à long terme;
G. considérant que les établissements scolaires disposent d'espaces et d'outils susceptibles de contribuer à la connaissance et à la manipulation des aliments ainsi qu'à l'adoption de comportements alimentaires qui, en parallèle d'une activité physique pratiquée avec modération et de manière régulière, constituent un style de vie sain;
H. considérant que l'information, l'éducation et la sensibilisation font partie de la stratégie de l'Union européenne pour aider les États membres à réduire les dommages liés à l'alcool (COM(2006)0625), qui reconnaît les habitudes de consommation acceptables; considérant que le Conseil a adopté, le 5 juin 2001, une recommandation concernant la consommation d'alcool chez les jeunes, notamment les enfants et les adolescents, qui envisage d'encourager l'information au moyen d'une approche multisectorielle;
I. considérant que, lors de la réunion du réseau européen des fondations pour la nutrition (European Nutrition Foundations Network) sur le sujet de la nutrition dans les écoles en Europe et du rôle des fondations, le besoin d'intégrer aux programmes scolaires le thème de l'alimentation, à la fois sous son aspect nutritif et gastronomique, a été constaté, et qu'il a été convenu, à l'unanimité, de porter cette question à l'attention d'institutions comme le Parlement européen et la Commission;
J. considérant que plusieurs pays ont encouragé, par l'intermédiaire de divers organismes nationaux, la reconnaissance de la diète méditerranéenne comme patrimoine culturel immatériel de l'Unesco, laquelle consiste à encourager et à adopter des comportements qui garantissent un style de vie sain par une approche résolument transversale qui tient compte des aspects éducatifs, alimentaires, scolaires, familiaux, nutritionnels, territoriaux et topographiques, entre autres;
K. considérant que la diète méditerranéenne associe de manière équilibrée et saine un modèle alimentaire et un style de vie qui contribuent directement à la prévention de maladies chroniques et à la promotion de la santé, aussi bien dans le milieu scolaire que dans le milieu familial;
L. considérant que les programmes européens pour l'alimentation à l'école cherchent à faire en sorte que la nourriture proposée dans les cantines scolaires contienne tous les éléments d'une alimentation de qualité et équilibrée; considérant que l'éducation au sens le plus large, notamment dans le domaine alimentaire, sert à renforcer chez les élèves le concept de style de vie sain fondé sur un régime alimentaire équilibré;
M. considérant qu'une éducation nutritionnelle digne de ce nom éduque également les citoyens sur les liens existant entre aliments, durabilité alimentaire et état de santé de notre planète;
N. considérant que, dans de nombreux cas, la hausse des prix des cantines scolaires et de l'alimentation empêche un certain nombre de ménages, et en particulier les enfants, d'avoir accès à une nourriture équilibrée et de qualité;
O. considérant que les médias et la publicité impactent les modes de consommation des citoyens;
P. considérant que, pour acquérir une connaissance exacte des produits utilisés et de leur qualité intrinsèque et gustative, il est primordial de développer des systèmes d'étiquetage approprié et clair pour tout consommateur quant à la composition des produits ou leur provenance;
Q. considérant que la formation des travailleurs du secteur de la gastronomie participe de la transmission, de la valorisation, de la pérennité et du développement de la gastronomie européenne;
Aspects liés à la culture
R. considérant que la gastronomie peut être définie comme l'ensemble des connaissances, des expériences, ainsi que des formes d'arts et d'artisanats qui permettent de manger de manière saine et avec plaisir;
S. considérant que la gastronomie fait partie de notre identité et est un élément essentiel du patrimoine culturel européen ainsi que du patrimoine culturel des États membres;
T. considérant que l'Union européenne a encouragé le recensement, la défense et la protection internationale des indications géographiques, des appellations d'origine et des spécialités traditionnelles des produits agro-alimentaires;
U. considérant que la gastronomie n'est pas seulement un art élitaire de préparation de la nourriture mais est une façon engagée de reconnaître la valeur des matières premières dont elle se sert, de leur qualité et du besoin d'excellence à toutes les étapes de la transformation des aliments, intégrant le respect des animaux et de la nature;
V. considérant que la gastronomie est étroitement liée aux pratiques agricoles des différents territoires européens et à leurs produits locaux;
W. considérant qu'il importe de préserver les traditions et les coutumes liées à la gastronomie locale et régionale, par exemple, et d'encourager le développement de la gastronomie européenne;
X. considérant que la gastronomie est l'une des manifestations culturelles les plus importantes de l'être humain et qu'il faut englober dans ce terme non seulement ce qu'on appelle la "grande cuisine" mais également toutes les expressions culinaires des différentes régions et classes sociales, y compris la cuisine de tradition locale;
Y. considérant que la survie de la cuisine typique représente un patrimoine culinaire et culturel souvent mis en péril par l'invasion de denrées standardisées;
Z. considérant que la qualité, le rayonnement et la diversité de la gastronomie européenne nécessitent une production alimentaire européenne de qualité et en quantité suffisante;
AA. considérant que la gastronomie est étroitement liée aux différents aspects de l'alimentation et que ses trois piliers fondamentaux sont la santé, les habitudes alimentaires et le plaisir; considérant que les arts de la table sont, dans de nombreux pays, un vecteur de convivialité et un moment important de sociabilité; considérant en outre que les différentes cultures gastronomiques participent aux échanges et au partage des différentes cultures; considérant qu'elle a également une influence positive sur les relations sociales et familiales;
AB. considérant l'importance qu'implique la reconnaissance par l'Unesco de la diète méditerranéenne comme patrimoine culturel immatériel en tant qu'ensemble de connaissances, de compétences, de pratiques, de rituels, de traditions et de symboles liés aux cultures et aux récoltes agricoles, à la pêche et à l'élevage, ainsi qu'à la façon de conserver, de transformer, de cuisiner, de partager et de consommer les aliments;
AC. considérant que les différentes habitudes alimentaires des peuples européens constituent un riche héritage socioculturel que nous avons pour devoir de transmettre de génération en génération; considérant que l'école est, avec la famille, le lieu idéal pour l'acquisition de ces connaissances;
AD. considérant que la gastronomie devient l'un des principaux thèmes de la publicité en matière de tourisme et que l'association du tourisme, de la gastronomie et de la nutrition a un effet très positif sur la promotion touristique;
AE. considérant qu'il est important de transmettre aux générations futures les richesses de la gastronomie de leur région et plus généralement de la gastronomie européenne;
AF. considérant que la gastronomie contribue à la promotion du patrimoine des différentes régions;
AG. considérant qu'il est essentiel de promouvoir les productions locales et régionales afin de préserver le patrimoine gastronomique d'une part, et de garantir une juste rémunération des producteurs et l'accessibilité au plus grand nombre à ces produits d'autre part;
AH. considérant que la gastronomie est source de richesses culturelles mais aussi économiques pour les régions de l'Union européenne;
AI. considérant que le patrimoine européen se compose d'un ensemble d'éléments matériels et immatériels et que, dans le cas de la gastronomie et de l'alimentation, ce patrimoine est également constitué du lieu d'où proviennent les produits consommés et de ses conditions topographiques;
AJ. considérant que la pérennité, la diversité et la richesse culturelle de la gastronomie européenne repose sur une production locale de qualité;
Aspects liés à l'éducation
1. demande aux États membres d'intégrer à l'éducation scolaire, et ce dès la petite enfance, l'étude et l'expérience sensorielle de l'alimentation, la santé dans le domaine nutritionnel et les habitudes alimentaires, y compris les aspects historiques, géographiques, culturels mais également fondés sur l'expérience, afin de contribuer à améliorer l'état de santé et le bien-être de la population, à rehausser la qualité des denrées alimentaires et à promouvoir le respect de l'environnement; se félicite des programmes d'éducation à la gastronomie mis en place par certains États membres dans les écoles, parfois en collaboration avec de grands chefs cuisiniers; souligne qu'il importe de conjuguer l'éducation à une alimentation saine et la lutte contre les stéréotypes pouvant entrainer de graves troubles alimentaires et psychologiques comme l'anorexie ou la boulimie;
2. souligne de la même manière l'importance de mettre en œuvre les recommandations de l'OMS pour lutter contre l'obésité et la mauvaise alimentation; s'alarme du problème de malnutrition en Europe et de son augmentation depuis les débuts de la crise et insiste pour que les États membres permettent à tous une alimentation saine notamment en garantissant des cantines scolaires ou municipales de qualité et accessibles à tous;
3. signale qu'il est nécessaire en outre d'enrichir les programmes scolaires avec des informations sur la culture gastronomique, notamment locale, sur le processus de préparation, de production, de conservation et de distribution des denrées alimentaires, sur leurs influences dans le domaine socioculturel et sur les droits du consommateur; prie instamment les États membres d'intégrer dans leurs programmes pédagogiques des ateliers axés sur le développement des sens, notamment du goût, combinant bienfaits nutritionnels des aliments et patrimoine gastronomique régional et national;
4. rappelle que, dans certains pays européens, la nutrition est déjà intégrée au programme scolaire, alors que dans d'autres, le sujet n'est pas obligatoire comme tel, mais est enseigné par différents moyens, comme des programmes mis en place par des autorités locales ou des entités privées;
5. réaffirme qu'il est nécessaire que les écoles assurent l'éducation en matière de nutrition et l'enseignement d'une bonne alimentation, saine et agréable;
6. souligne que l'éducation physique et sportive doit être renforcée dans les écoles primaires et secondaires de toute l'Union européenne;
7. rappelle qu'une bonne nutrition chez les enfants améliore leur bien-être et stimule leur capacité d'apprentissage tout en les rendant plus résistants aux maladies et en leur permettant de mieux se développer;
8. indique que les habitudes alimentaires acquises pendant l'enfance peuvent influer sur les préférences et les choix alimentaires, ainsi que les méthodes de préparation et de consommation des aliments, à l'âge adulte; l'enfance est donc un moment clé pour éduquer au goût et l'école un lieu idéal pour faire découvrir aux élèves la diversité des produits et des gastronomies;
9. estime qu'il convient de prévoir des cours d'éducation et de sensibilisation aux conséquences de la consommation excessive de boissons alcoolisées, d'encourager les habitudes de consommation appropriées et intelligentes par la connaissance des caractéristiques spécifiques des vins, de leurs indications géographiques, de leurs cépages, de leurs modes de production et de la signification des mentions traditionnelles;
10. demande à la Commission d'encourager des projets d'échanges d'information et de pratiques autour du domaine de la nutrition, des denrées alimentaires et des gastronomies, par exemple dans le cadre de la ligne Comenius (enseignement scolaire) du programme Erasmus+; demande en outre à l'Union européenne et aux États membres de favoriser les échanges interculturels dans les filières relatives à la restauration, à l'alimentation et à la gastronomie, en tirant parti des possibilités offertes par le programme Erasmus+ favorisant une formation de qualité, la mobilité et des stages accessibles aux apprenants comme aux professionnels;
11. souligne que l'éducation en matière de nutrition et de gastronomie, englobant le respect de la nature et de l'environnement, s'appuie sur la participation de la famille, des enseignants, de la communauté pédagogique, des vecteurs d'informations et de tous les professionnels de l'éducation;
12. insiste sur l'utilité des technologies de l'information et de la communication dans le cadre de l'apprentissage, qui constituent un bon outil pédagogique; encourage la création de plateformes interactives visant à faciliter l'accès au patrimoine gastronomique européen, national et régional et sa diffusion pour favoriser la préservation et la transmission de savoir-faire traditionnels entre professionnels, artisans et citoyens;
13. demande à la Commission, au Conseil et aux États membres d'étudier un encadrement plus strict des contenus et des publicités traitant de produits alimentaires, notamment sous l'angle de la nutrition;
14. rappelle aux États membres de veiller à ce que toute publicité ou sponsoring pour des produits répondant à l'appellation de "malbouffe" soit interdite dans les écoles;
15. demande aux États membres de veiller à bien former les enseignants et professeurs, en collaboration avec les nutritionnistes et les médecins, pour leur permettre d'enseigner correctement les "sciences de l'alimentation" dans les écoles et universités; rappelle que nutrition et environnement sont co-dépendants et demande aussi, par conséquent, l'actualisation des connaissances relatives à l'environnement naturel;
16. invite la Commission et le Conseil à étudier les systèmes de formation des professionnels de la gastronomie; encourage les États membres à promouvoir ces formations; souligne qu'il importe que ces formations traitent de la gastronomie locale et européenne, de la diversité des produits, ainsi que des processus de préparation, de production, de conservation et de distribution des denrées alimentaires;
17. insiste sur l'importance pour les formations des professionnels de la gastronomie de mettre l'accent sur le "fait maison" ainsi que sur l'utilisation de produits locaux et variés;
18. demande aux États membres d'échanger des connaissances et des bonnes pratiques en ce qui concerne les activités liées à la gastronomie dans le cadre éducatif, et de promouvoir les connaissances en matière gastronomique dans les différentes régions; demande également d'organiser un échange de bonnes pratiques ou le développement de considérations qui raccourcissent la chaîne alimentaire, en insistant sur la production locale et de saison;
19. souligne qu'il faut utiliser les programmes de financement de la politique agricole commune 2014-2020 pour encourager une alimentation saine à l'école;
20. rappelle que l'impact de la reconnaissance de la diète méditerranéenne et du repas gastronomique des Français comme patrimoine culturel immatériel de l'humanité par l'Unesco a donné lieu à la création d'institutions et d'organismes qui encouragent la connaissance, la pratique et l'éducation dans le cadre des valeurs et des habitudes d'un régime alimentaire sain et équilibré;
Aspects liés à la culture
21. souligne qu'il est nécessaire de sensibiliser la population à la variété et à la qualité des régions, des conditions topographiques et des produits à la base de la gastronomie européenne, qui font partie intégrante de notre patrimoine culturel et qui constitue également un style de vie unique reconnu à l'échelon international; souligne que cette gastronomie nécessite parfois de respecter les habitudes locales;
22. signale que la gastronomie est un outil permettant de stimuler la croissance et l'emploi dans de nombreux secteurs économiques, tels que la restauration, le tourisme, l'industrie agroalimentaire et la recherche; constate que la gastronomie peut aussi amener à développer un sens aigu pour la protection de la nature et de l'environnement, qui garantit aux aliments un goût plus authentique et moins travaillé avec additifs ou conservateurs;
23. souligne l'importance de la gastronomie pour stimuler l'industrie hôtelière en Europe et inversement;
24. reconnaît le rôle que nos cuisiniers talentueux et nos chefs étoilés jouent dans la préservation et l'exportation de notre patrimoine gastronomique, ainsi que l'importance de la préservation de notre savoir-faire culinaire, élément essentiel apportant une valeur ajoutée en termes d'enseignement comme d'économie;
25. accueille favorablement les initiatives visant à promouvoir le patrimoine gastronomique européen, comme les foires et les festivals gastronomiques à l'échelle locale et régionale, qui renforcent la notion de proximité comme élément de respect de l'environnement et de notre milieu et qui sont la garantie d'une plus grande confiance du consommateur; encourage ces initiatives à inclure une dimension européenne;
26. salue les trois programmes de l'Union européenne sur les indications géographiques et les spécialités traditionnelles couvrant les appellations d'origine protégées (AOP), les indications géographiques protégées (IGP) et les spécialités traditionnelles garanties (STG), qui renforcent la valeur des produits agricoles européens dans l'Union et à l'international; invite les États membres et les régions à développer des labels AOP, et notamment des labels AOP communs pour les produits de même nature issus d'aires géographiques transfrontalières;
27. se félicite des initiatives telles que "Slow Food", qui participent à ce que tout le monde apprenne à apprécier l'importance sociale et culturelle de la nourriture, ainsi que de l'initiative "Wine in Moderation", qui encourage un style de vie associé à la modération dans la consommation de boissons alcoolisées;
28. souligne également le rôle joué par les académies de gastronomie, de la Fédération européenne des sociétés de nutrition et de l'Académie internationale de la gastronomie, dont le siège est à Paris, dans l'étude et la diffusion du patrimoine gastronomique;
29. demande aux États membres de formuler et de mettre en œuvre des politiques visant à améliorer, du point de vue qualitatif et quantitatif, l'industrie gastronomique, pour elle-même et en lien avec l'offre touristique, dans le cadre du développement culturel et économique des différentes régions;
30. souligne que la gastronomie est un produit culturel de l'Union européenne et de ses États membres qui s'exporte bien;
31. demande aux États membres de soutenir les initiatives liées à l'agrotourisme, qui favorisent la connaissance du patrimoine culturel et paysager, apportent un soutien aux régions et contribuent au développement rural;
32. invite les États membres et la Commission à développer les aspects culturels de la gastronomie et à promouvoir des habitudes alimentaires orientées vers la préservation de la santé des consommateurs, le développement de l'échange et du partage des cultures et la promotion des régions, mais également du plaisir de manger, de la convivialité et de la sociabilité;
33. demande aux États membres de collaborer entre eux et d'appuyer les initiatives visant à préserver la qualité, la diversité, l'hétérogénéité et la singularité des produits artisanaux présents à l'échelle locale, régionale et nationale, afin de lutter contre l'homogénéisation qui, à long terme, conduirait à l'appauvrissement du patrimoine gastronomique européen;
34. encourage la Commission, le Conseil et les États membres à intégrer dans leurs réflexions sur les politiques alimentaires l'importance de soutenir une production alimentaire européenne durable, variée, de qualité et en quantité suffisante afin de soutenir la diversité culinaire européenne;
35. demande à la Commission et aux États membres de renforcer la démarche de reconnaissance et de labellisation de la production alimentaire européenne pour permettre une valorisation de ses produits, une meilleure information des consommateurs et une protection de la diversité de la gastronomie européenne;
36. signale qu'il est important de reconnaître et de valoriser les productions gastronomiques de qualité; invite la Commission, le Conseil et les États membres à réfléchir à la mise en place d'une information des consommateurs par les restaurateurs sur les plats préparés sur place à partir de produits bruts;
37. encourage la Commission, le Conseil et les États membres à étudier les effets des législations qu'ils adoptent sur les capacités, la diversité et la qualité de la production alimentaire de l'Union européenne et à prendre des mesures pour lutter contre la contrefaçon;
38. soutient les initiatives mises en place par les États membres et leurs régions pour promouvoir et préserver l'ensemble des territoires, des paysages et des produits qui composent le patrimoine gastronomique local; invite les régions à mettre en valeur une gastronomie locale et diététique dans la restauration scolaire et collective en lien avec les producteurs locaux afin de préserver et de valoriser le patrimoine gastronomique régional, de stimuler l'agriculture locale et de renforcer les circuits courts;
39. demande aux États membres d'adopter des mesures de préservation du patrimoine européen lié à la gastronomie, telles que des mesures de protection du patrimoine architectural des marchés traditionnels de produits alimentaires, des caves vinicoles ou d'autres établissements ainsi que des ustensiles et des machines liés à l'alimentation et à la gastronomie;
40. insiste sur l'importance de recenser, de répertorier, de transmettre et de diffuser la richesse culturelle de la gastronomie européenne; encourage la mise en place d'un observatoire européen de la gastronomie;
41. suggère à la Commission d'inclure la gastronomie européenne dans ses programmes et initiatives dans le domaine culturel;
42. se félicite de l'inscription à la liste du patrimoine culturel immatériel de l'humanité du repas gastronomique des Français, aux côtés de la diète méditerranéenne, du pain d'épices croate et de la cuisine traditionnelle du Mexique, et encourage les États membres à demander l'intégration de leurs traditions et de leurs pratiques gastronomiques dans la convention de l'Unesco pour la sauvegarde du patrimoine culturel immatériel dans le but de contribuer à leur préservation;
43. suggère aux villes européennes de présenter leur candidature pour devenir une Ville Unesco de la gastronomie, dans le cadre du Réseau des villes créatives;
o o o
44. charge son Président de transmettre la présente résolution au Conseil et à la Commission, ainsi qu'aux gouvernements et aux parlements des États membres.
Protection des personnes physiques à l'égard du traitement des données à caractère personnel ***I
Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
(Procédure législative ordinaire: première lecture)
Le Parlement européen,
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0011),
– vu l'article 294, paragraphe 2, ainsi que l'article 16, paragraphe 2, et l'article 114, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7‑0025/2012),
– vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,
– vu les avis motivés soumis par la Chambre des représentants belge, le Bundesrat allemand, le Sénat français, la Chambre des députés italienne et le Parlement suédois, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,
– vu l'avis du Comité économique et social européen du 23 mai 2012(1),
– après consultation du Comité des régions,
– vu l'avis du Contrôleur européen de la protection des données du 7 mars 2012(2),
– vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,
– vu l'article 55 de son règlement,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et les avis de la commission de l'emploi et des affaires sociales, de la commission de l'industrie, de la recherche et de l'énergie, de la commission du marché intérieur et de la protection des consommateurs et de la commission des affaires juridiques (A7-0402/2013),
1. arrête la position en première lecture figurant ci-après;
2. demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.
Position du Parlement européen arrêtée en première lecture le 12 mars 2014 en vue de l’adoption du règlement (UE) n° .../2014 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2, et son article 114, paragraphe 1,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen(3),
après consultation du Comité des régions,
vu l’avis du Contrôleur européen de la protection des données(4),
statuant conformément à la procédure législative ordinaire(5),
considérant ce qui suit:
(1) La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée « charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
(2) Le traitement des données à caractère personnel est au service de l’homme; les principes et les règles régissant la protection des personnes physiques à l'égard du traitement des données les concernant devraient donc, quelle que soit la nationalité ou la résidence de ces personnes, respecter leurs libertés et leurs droits fondamentaux, notamment le droit à la protection des données à caractère personnel. Le traitement des données devrait contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes.
(3) La directive 95/46/CE du Parlement européen et du Conseil(6) vise à harmoniser la protection des libertés et des droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement de données et à garantir la libre circulation des données à caractère personnel entre les États membres.
(4) L'intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à une augmentation substantielle des flux transfrontières. Les échanges de données entre acteurs économiques et sociaux, publics et privés, se sont intensifiés dans l'ensemble de l'Union. Le droit de l'Union appelle les autorités nationales des États membres à coopérer et à échanger des données à caractère personnel, afin d'être en mesure de remplir leurs missions ou d'accomplir des tâches pour le compte d'une autorité d'un autre État membre.
(5) La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu’aux pouvoirs publics d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu’il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l’économie et les rapports sociaux, et elles exigent de faciliter davantage la libre circulation des données au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
(6) Cette évolution oblige à mettre en place dans l’Union un cadre de protection des données plus solide et plus cohérent, assorti d'une application rigoureuse des règles, compte tenu de l'importance de susciter la confiance qui permettra à l’économie numérique de se développer dans l'ensemble du marché intérieur. Les personnes physiques devraient maîtriser l'utilisation qui est faite des données à caractère personnel les concernant, et la sécurité tant juridique que pratique devrait être renforcée pour les particuliers, les opérateurs économiques et les autorités publiques.
(7) Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n'a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données à caractère personnel dans l'Union, une insécurité juridique et le sentiment, largement répandu dans le public, que des risques importants subsistent, notamment dans l’environnement en ligne. Si le niveau de protection des droits et libertés des personnes physiques ‑ notamment du droit à la protection des données à caractère personnel ‑ accordé dans les États membres à l’égard du traitement des données à caractère personnel n'est pas identique, cela risque d'entraver la libre circulation de ces données dans toute l'Union. Ces différences peuvent dès lors constituer un obstacle à l'exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s'acquitter des obligations qui leur incombent en vertu du droit de l'Union. Ces écarts de niveau de protection résultent de l'existence de divergences dans la transposition et l’application de la directive 95/46/CE.
(8) Afin d'assurer la cohérence et un degré élevé de protection des personnes, et de lever les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et des libertés des personnes à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union.
(9) Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer et de préciser les droits des personnes concernées, ainsi que les obligations de ceux qui effectuent ou déterminent le traitement des données à caractère personnel, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel, et de prévoir des sanctions équivalentes pour les contrevenants.
(10) L’article 16, paragraphe 2, du traité donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation de ces données.
(11) Afin d'obtenir un niveau uniforme de protection des personnes physiques dans toute l'Union, et d'éviter que des divergences n'entravent la libre circulation des données au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, notamment les micro, petites et moyennes entreprises, pour assurer aux personnes de tous les États membres un même niveau de droits opposables, et des obligations et responsabilités égales pour les responsables du traitement des données et les sous‑traitants, de même que pour assurer une surveillance cohérente du traitement des données à caractère personnel, des sanctions équivalentes dans tous les États membres et une coopération efficace entre les autorités de contrôle des différents États membres. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte un certain nombre de dérogations. Les institutions et organes de l'Union, les États membres et leurs autorités de contrôle sont, en outre, encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de s'inspirer de la recommandation 2003/361/CE de la Commission(7).
(12) La protection conférée par le présent règlement concerne les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, dans le cadre du traitement des données à caractère personnel. En ce qui concerne le traitement de données relatives à des personnes morales, et en particulier des entreprises dotées de la personnalité juridique, notamment le nom, la forme juridique et les coordonnées de la personne morale, la protection conférée par le présent règlement ne devrait pas pouvoir être invoquée. Cela devrait être également le cas lorsque le nom de la personne morale contient le nom d’une ou plusieurs personnes physiques.
(13) La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application du présent règlement.
(14) Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union; il ne couvre pas non plus le traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, qui relève du règlement (CE) n° 45/2001(8), ni celui qui est fait par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.. Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil(9) devrait être mis en conformité avec le présent règlement et appliqué conformément à celui-ci. [Am. 1]
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses ou une vente privée, qui sont exclusivement personnels, familiaux ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale. Elle ne Toutefois, le présent règlement devrait pas valoir non plus pour les s'appliquer aux responsables du traitement de données ou et à leurs sous‑traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. [Am. 2]
(16) La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et la libre circulation de ces données font l’objet d’un instrument juridique spécifique au niveau de l'Union. Le présent règlement ne devrait donc pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, le traitement de données à ces fins par des autorités publiques devrait être régi par cet instrument juridique plus spécifique au niveau de l'Union (à savoir la directive 2014/.../UE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et la libre circulation de ces données).
(17) Le présent règlement devrait s'appliquer sans préjudice de la directive 2000/31/CE du Parlement européen et du Conseil(10), et notamment de ses articles 12 et 15 relatifs à la responsabilité des prestataires intermédiaires.
(18) Le présent règlement permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents officiels. Des données à caractère personnel contenues dans des documents en possession d'une autorité publique ou d'un organisme public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l'État membre en matière d'accès du public aux documents officiels, lequel concilie le droit à la protection des données et le droit d'accès du public aux documents officiels, et atteint un juste équilibre entre les différents intérêts en jeu.[Am. 3]
(19) Tout traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou sous‑traitant situé sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui-même se déroule à l'intérieur de l'Union ou non. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable. La forme juridique retenue pour un tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.
(20) Afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu du présent règlement, le traitement de données à caractère personnel concernant des personnes résidant dans l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services, qu'un paiement soit exigé ou non, à ces personnes concernées, ou à l'au suivide ces personnes de leur comportement. Afin de déterminer si un tel responsable du traitement offre des biens ou des services à des personnes concernées dans l'Union, il y aurait lieu d'examiner s'il apparaît que le responsable du traitement envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. [Am. 4]
(21) Afin de déterminer si une activité de traitement peut être considérée comme «observant le comportement» les personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur l'internet au moyen de, quelles que soient les origines des données, ou si d'autres données les concernant sont recueillies, y compris à partir de registres et d'annonces publics dans l'Union qui sont accessibles en dehorsde l'Union, notamment dans l'intention d'utiliser ou en vue du recours ultérieur éventuel à des techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. [Am. 5]
(22) Lorsque le droit national d’un État membre s’applique en vertu du droit international public, le présent règlement devrait s'appliquer également à un responsable du traitement de données qui n’est pas établi dans l’Union mais, par exemple, dans une mission diplomatique ou un poste consulaire d'un État membre.
(23) Il y a lieu d'appliquer les principes de protection des données à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens raisonnablement susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou isoler directement ou indirectement ladite personne. Il n'y a pas lieu Pour établir si des moyens sont raisonnablement susceptibles d'appliquerêtre mis en œuvre afin d'identifier une personne physique, il convient de considérer l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte à la fois des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Les principes de la protection des données ne devraient donc pas s'appliquer aux données anonymes, qui ont été rendues suffisamment anonymes pour que la sont des informations qui ne concernent pas une personne physique concernée ne soit plus identifiée ou identifiable. Le présent règlement ne s'applique par conséquent pas au traitement de ces données anonymes, y compris à des fins statistiques et de recherche.[Am. 6]
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associerLe présent règlement devrait être applicable aux traitements impliquant des identifiants fournis en ligne tels que des adresses IP ou des témoins de connexion («cookies») par des appareils, applications, outils et protocoles utilisés. Ces, tels que des adresses IP, des témoins de connexion ("cookies") et des étiquettes d'identification par radiofréquence, à moins queces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d’identification, des données de localisation, des identifiants en ligne ou d’autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. ne concernent pas une personne physique identifiée ou identifiable. [Am. 7]
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque qui résulte du choix de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant. Un acte non équivoque de la personne concernée pourrait consister à cocher une case lorsqu'elle consulte un site internet ou par le biais de en toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite, donné par la simple utilisation d'un service, ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la ou les mêmes finalités. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. [Am. 8]
(26) Les données à caractère personnel concernant la santé devraient comprendre, en particulier, l'ensemble des données se rapportant à l'état de santé d'une personne concernée; les informations relatives à l'enregistrement du patient pour la prestation de services de santé; les informations relatives aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales; toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient; des informations obtenues lors d'un contrôle ou de l'examen d'un organe ou d'une substance corporelle, y compris des échantillons biologiques; l'identification d'une personne en tant que prestataire de soins de santé au patient; ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostique in vitro.
(27) Le principal établissement d'un responsable du traitement devrait être déterminé en fonction de critères objectifs et devrait supposer l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. On entend par «établissement principal du sous‑traitant» le lieu de son administration centrale dans l'Union.
(28) Un groupe d’entreprises devrait consister en une entreprise qui exerce le contrôle et des entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel.
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données à caractère personnel. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant.Lorsque le traitement des données repose sur le consentement de la personne concernée s'agissant de l'offre directe de biens ou de services aux enfants, le consentement devrait être donné ou autorisé par un parent de l'enfant ou par un représentant légal lorsque l'enfant a moins de 13 ans. Lorsque le public visé est constitué d'enfants, il convient d'utiliser des termes adaptés à leur âge. D'autres fondements donnant lieu à un traitement licite, tels que l'intérêt public, devraient demeurer applicables, par exemple pour le traitement dans le contexte de services de prévention ou de conseil fournis directement à un enfant. [Am. 9]
(30) Tout traitement de données à caractère personnel devrait être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités spécifiques du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données. Les données devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les données collectées ne soient pas excessives et à ce que leur durée de conservation soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique.
(31) Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. Dans le cas d'un enfant ou d'une personne n'ayant pas la capacité juridique, le droit pertinent de l'Union ou d'un État membre devrait déterminer les conditions dans lesquelles le consentement est donné ou autorisé par cette personne.[Am. 10]
(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d’une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. Afin de respecter le principe de la réduction au minimum des données, la charge de la preuve ne devrait pas être entendue comme exigeant l'identification formelle des personnes concernées, sauf en cas de nécessité.À l'image des termes de droit civil (voir par exemple la directive 93/13/CEE du Conseil(11)), les politiques en matière de protection des données devraient être aussi claires et transparentes que possible. Elles ne devraient pas comporter de clauses cachées ou désavantageuses. Le consentement ne peut être donné pour le traitement de données à caractère personnel concernant des tiers.[Am. 11]
(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. Tel est particulièrement le cas lorsque le responsable du traitement est une autorité publique qui peut, en vertu de ses prérogatives de puissance publique, imposer une obligation et que le consentement ne peut être réputé librement consenti. L'utilisation d'options par défaut que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées, n'est pas l'expression d'un libre consentement. Le consentement au traitement de données à caractère personnel complémentaires qui ne sont pas nécessaires pour la fourniture d'un service ne devrait pas être requis pour l'utilisation de ce service. Le retrait du consentement peut permettre la cessation ou l'inexécution du service qui dépend des données. Lorsque la réalisation de la finalité prévue ne peut pas être clairement déterminée, le responsable du traitement devrait, à intervalles réguliers, fournir à la personne concernée des informations sur le traitement et lui demander de réaffirmer son consentement. [Am. 12]
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n’y a déséquilibre que dans le cas d’opérations de traitement spécifiques dans le cadre desquelles l’autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l’intérêt de la personne concernée. [Am. 13]
(35) Le traitement devrait être licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de la conclusion envisagée d'un contrat.
(36) Lorsque le traitement est réalisé conformément à une obligation légale à laquelle est soumis le responsable du traitement, ou lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir son fondement juridique dans le droit de l’Union ou dans le droit d’un État membre respectant les conditions imposées par la charte pour toute limitation des droits et des libertés. Cela devrait également inclure les conventions collectives qui pourraient être reconnues en droit national comme étant d'applicabilité générale. Il appartient également au droit de l'Union ou au droit national de déterminer si le responsable du traitement investi d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne physique ou morale de droit public, ou de droit privé telle qu'une association professionnelle. [Am. 14]
(37) Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée.
(38) Les intérêts légitimes du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, peuvent constituer un fondement juridique au traitement, à moins à condition qu'ils répondent aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement et que ne priment pas les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La À moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement se limitant aux données pseudonymes est présumé répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Les intérêts et droits fondamentaux de la personne concernée pourraient en particulier l'emporter sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne peuvent raisonnablement s'attendre à un traitement ultérieur. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. [Am. 15]
(39) Le traitement des données relatives au trafic, dans la mesure strictement nécessaire et proportionnée à la finalité de garantir la sécurité du réseau et des informations, c’est-à-dire la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l’intégrité et la confidentialité de données stockées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par les pouvoirs publics, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), des fournisseurs de réseaux ou de services de communications électroniques, par des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable des données. Il pourrait s'agir, par exemple, d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques. Ce principe s'applique également au traitement de données à caractère personnel en vue de restreindre l'accès et le recours abusifs à des réseaux ou à des systèmes d'information accessibles au public, comme l'inscription sur une liste noire d’identifiants électroniques. [Am. 16]
(39 bis) À moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, la prévention ou la limitation des préjudices pour le responsable du traitement devrait être présumée répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe s'applique à l'exercice des droits en justice contre une personne concernée, notamment en cas de recouvrement de dettes ou de dommages et intérêts et de mesures de réparation au civil. [Am. 17]
(39 ter) À moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement de données à caractère personnel à des fins de commercialisation directe pour ses propres produits et services ou des produits et services similaires ou à des fins de commercialisation directe par courrier devrait être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement, à condition que des informations très visibles aient été communiquées en ce qui concerne le droit d'opposition et la source des données à caractère personnel. Le traitement de coordonnées commerciales devrait de manière générale être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données ont été divulguées, et répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe devrait s'appliquer au traitement de données à caractère personnel manifestement rendues publiques par la personne concernée. [Am. 18]
(40) Le traitement des données à caractère personnel à d’autres fins ne devrait être autorisé que s'il est compatible avec les finalités de la collecte initiale des données, notamment lorsque le traitement est nécessaire à des fins statistiques ou de recherche historique ou scientifique. Lorsque cette autre finalité n'est pas compatible avec la finalité initiale de la collecte des données, il convient que le responsable du traitement obtienne le consentement de la personne concernée à cette autre finalité ou qu'il fonde le traitement sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la législation de l'État membre dont relève le responsable des données le prévoit. En tout état de cause, l'application des principes énoncés par le présent règlement et, en particulier, de respecter l'obligation d'informer la personne concernée au sujet de ces autres finalités devrait être assurée. [Am. 19]
(41) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que la personne concernée n'y consente expressément. Toutefois, des dérogations à cette interdiction devraient être expressément prévues pour tenir compte de besoins spécifiques, en particulier lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l'exercice des libertés fondamentales. [Am. 20]
(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et de services dans le régime d’assurance‑maladie, ou à des fins de recherche historique, statistique etscientifique, ou pour des services d'archives. [Am. 21]
(43) En outre, le traitement de données à caractère personnel par des autorités publiques en vue de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des raisons d'intérêt général.
(44) Si, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique suppose, dans un État membre, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt général, à condition que des garanties appropriées soient prévues.
(45) Si les données qu’il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d’une demande d’accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. Si la personne concernée est en mesure de fournir ces données, les responsables du traitement ne devraient pas pouvoir invoquer un manque d'information pour rejeter une demande d'accès. [Am. 22]
(46) Le principe de transparence veut que toute information adressée au public ou à la personne concernée soit aisément accessible et facile à comprendre, et formulée en termes simples et clairs. Ceci vaut tout particulièrement lorsque, dans des domaines tels que la publicité en ligne, la multiplication des acteurs et la complexité des technologies utilisées empêchent la personne concernée de savoir exactement si des données à caractère personnel la concernant sont collectées, par qui et dans quel but. Les enfants nécessitant une protection spécifique, toute information et communication, lorsque le traitement des données les vise spécifiquement, devrait être rédigée en des termes simples et clairs que l’enfant peut aisément comprendre.
(47) Des modalités devraient être prévues pour faciliter l'exercice, par la personne concernée, des droits qui lui sont conférés par le présent règlement, notamment les moyens de demanderd'obtenir, sans frais, l'accès aux données, leur rectification ou leur effacement, et d'exercer son droit d'opposition. Le responsable du traitement devrait être tenu de répondre à la personne concernée dans un délai donnéraisonnable et de motiver tout refus. [Am. 23]
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront probablement conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers, de l’existence de mesures permettant l'opposition et d’un droit d’accès, de rectification ou d’effacement, ainsi que du droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle‑ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. Ces informations devraient être communiquées à la personne concernée, ce qui peut également signifier qu'elle doit pouvoir y accéder facilement, après que des informations simplifiées lui aient été fournies sous la forme d'icônes normalisées. Cela devrait également signifier que les données à caractère personnel sont traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits. [Am. 24]
(49) L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre destinataire, il convient que la personne concernée soit informée lorsque ces données sont divulguées pour la première fois audit destinataire.
(50) Toutefois, il n'est pas nécessaire d'imposer cette obligation si la personne concernée dispose connaît déjà de cette information, ou si l'enregistrement ou la divulgation des données sont expressément prévus par la loi, ou si l'information de la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, en particulier, des traitements à des fins statistiques ou de recherche historique ou scientifique; à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices éventuelles adoptées. [Am. 25]
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été recueillies à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données, la durée estimée de leur conservation, l'identité des destinataires, la logique générale qui sous‑tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d’autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au concernant par exemple le droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. [Am. 26]
(52) Le responsable du traitement devrait prendre toutes les mesures raisonnables afin de s’assurer de l’identité d’une personne concernée demandant l'accès aux données, en particulier dans le contexte des services et identifiants en ligne. Un responsable des données ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un «droit à l’oubli numérique l'effacement» lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins de recherche historique, statistique et scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. De la même manière, le droit à l'effacement ne devrait pas s'appliquer lorsque la conservation de données à caractère personnel est nécessaire pour l'exécution d'un contrat avec la personne concernée, ou lorsqu'il existe une obligation légale de conserver ces données. [Am. 27]
(54) Afin de renforcer le «droit à l'oubli numériquel'effacement» dans l’environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques sans motif légal soit tenu d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données, ou toute copie ou reproduction de celles‑ci. Afin d'assurer cette information, le responsable des données devrait de prendre toutes les mesures raisonnables nécessaires pour procéder à l'effacement de ces données, y compris les mesures techniques, à l'égard des données dont la publication lui est imputable. En ce qui concerne la responsabilité par des tiers, sans préjudice du droit de la publication de données à caractère personnel par un tiers, elle devrait être imputée au responsable du traitement lorsqu'il a lui-même autorisé le tiers à l'effectuer. personne concernée à demander réparation. [Am. 28]
(54 bis) Les données contestées par la personne concernée, dont on ne peut déterminer l'exactitude ou l'inexactitude, devraient être verrouillées jusqu'à ce que la question soit résolue. [Am. 29]
(55) Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d’accès, les personnes concernées devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Il y a lieu d’encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l’exécution d’un contrat. Les fournisseurs de services de la société de l'information ne devraient pas conditionner la fourniture de leurs services au transfert de ces données.[Am. 30]
(56) Dans les cas où des données à caractère personnel pourraient faire l'objet d'un traitement licite afin de protéger les intérêts vitaux de la personne concernée, ou pour un motif d'intérêt général, à l'exercice de l'autorité publique ou à la poursuite des intérêts légitimes du responsable du traitement, toute personne concernée devrait néanmoins avoir le droit de s’opposer au traitement de toute donnée la concernant sans frais et d'une manière simple et effective. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. [Am. 31]
(57) Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée devrait avoira le droit de s’opposer à ce au traitement, sans frais et le responsable du traitement devrait le proposer explicitement à la personne concernée d’une manière simple et effective et sous une forme intelligible, en des termes clairs et simples, et devrait clairement distinguer ce droit des autres informations. [Am. 32]
(58) Sans préjudice de la licéité du traitement des données, toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur s'opposer au profilage. Le profilage par traitement automatisé. Toutefois, de telles mesures devraient conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, droits ou libertés ne devrait être permises permis que lorsqu'elles sont il est expressément autorisées autorisé par la loi, appliquées appliqué dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention appréciation humaine, et cette mesure ne devrait pas concerner les enfants. Ces mesures ne devraient pas entraîner de discrimination à l'encontre de personnes sur la base de leur origine raciale ou ethnique, de leurs opinions politiques, de leur religion ou croyances, de leur appartenance syndicale, de leur orientation sexuelle ou de leur identité de genre. [Am. 33]
(58 bis) Le profilage fondé uniquement sur le traitement de données pseudonymes devrait être présumé ne pas affecter de manière significative les intérêts, droits ou libertés de la personne concernée. Lorsque le profilage, qu'il repose sur une source unique de donnée pseudonymes ou sur l'agrégation de données pseudonymes issues de différentes sources, permet au responsable du traitement d'attribuer des données pseudonymes à une personne concernée déterminée, les données traitées ne devraient plus être considérées comme pseudonymes. [Am. 34]
(59) Des limitations des principes spécifiques et du droit à l'information, du droit d'accès, de rectification et d'effacement, ou du droit à la portabilité d’accès à des données ou du droit d’obtenir des données, du droit d'opposition, des mesures fondées sur le du profilage, ainsi que de la communication d'une violation des données à caractère personnel à une personne concernée, et des limitations de certaines obligations connexes des responsables du traitement des données peuvent être imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique, pour garantir la sécurité publique, notamment aux fins de la protection de la vie humaine en cas, plus particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la prévention d’infractions pénales, des enquêtes et des poursuites en la matière, ou de manquements à la déontologie des professions réglementées, aux fins d'autres intérêts publics spécifiques et clairement définis, y compris d'un intérêt économique ou financier important de l'Union ou d'un État membre, ou aux fins de la protection de la personne concernée ou des droits ou libertés de tiers. Ces limitations doivent être conformes aux exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. [Am. 35]
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui‑même ou qui est réalisé pour son compte, en particulier en ce qui concerne la documentation, la sécurité des données, les analyses d'impact, le délégué à la protection des données et le contrôle par les autorités de protection des données. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu en mesure d'en apporter la preuve. Cela devrait être vérifié par des auditeurs indépendants internes ou externes. [Am. 36]
(61) La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut. Le principe de la protection des données dès la conception requiert que cette protection soit intégrée dans la totalité du cycle de vie d'une technologie, dès la toute première étape de conception jusqu'à son déploiement final, son utilisation et son élimination. Cela devrait également inclure la responsabilité pour les produits et services utilisés par le responsable du traitement ou le sous-traitant. Le principe de la protection des données par défaut requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction des données au minimum et la limitation de la finalité. [Am. 37]
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. L'accord entre les responsables conjoints du traitement devrait refléter leurs rôles effectifs et leurs relations. Dans le cadre du traitement de données à caractère personnel au titre du présent règlement, un responsable du traitement devrait également être autorisé à communiquer les données à un responsable conjoint ou à un sous-traitant afin qu'ils traitent les données en son nom. [Am. 38]
(63) Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, et que les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, ou à l'observation de leur comportement, il convient que le responsable du traitement désigne un représentant, à moins que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de protection adéquat, ou que le traitement vise moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et ne concerne pas des catégories particulières de données à caractère personnel, ou que le responsable du traitement ne soit une petite ou moyenne entreprise ou une autorité ou un organisme public, ou qu'il ne propose qu'occasionnellement des biens ou des services à ces personnes concernées. Le représentant devrait agir pour le compte du responsable du traitement et devrait pouvoir être contacté par toute autorité de contrôle. [Am. 39]
(64) Afin de déterminer si un responsable du traitement n'offre qu'occasionnellement des biens et des services à des personnes concernées résidant dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble de ses activités que l'offre de biens et de services à ces personnes concernées est accessoire à ces activités principales. [Am. 40]
(65) Afin d’ de pouvoir apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous‑traitant devrait consigner chaque opération de traitement tenir à jour la documentation nécessaire au respect des exigences établies dans le présent règlement. Chaque responsable du traitement et sous‑traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question à l'évaluation du respect du présent règlement. Néanmoins, il y a lieu d'accorder la même attention et la même importance aux bonnes pratiques et à la conformité, et pas seulement à la constitution de la documentation. [Am. 41]
(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, des techniques les plus récentes et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l’adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, la Commission devrait il convient de promouvoir la neutralité technologique, l’interopérabilité et l’innovation, et au besoin, coopérer d'encourager la coopération avec les pays tiers. [Am. 42]
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d’identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu’une telle violation s’est produite, il conviendrait qu'il en informe devrait notifier la violation à l’autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté ce qui devrait supposer un délai qui ne soit pas inférieur à 72 heures. Le cas échéant, la notification devrait être assortie d'une explication des raisons de ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être informées sans retard injustifié afin qu’elles puissent prendre les précautions qui s’imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des orientations fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. [Am. 43]
(68) Afin de déterminer si une violation des données à caractère personnel est notifiée sans retard injustifié à l'autorité de contrôle et à la personne concernée, il y a lieu de vérifier si le responsable du traitement a mis en place et appliqué une protection technologique et des mesures d'organisation appropriées pour établir immédiatement si une violation des données est intervenue et pour informer dans les meilleurs délais l'autorité de contrôle et la personne concernée, avant qu'une atteinte ne soit portée aux intérêts personnels et économiques de la personne, compte tenu notamment de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets néfastes pour la personne concernée.
(69) Lors de la fixation des règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d’usurpation d’identité ou d’autres formes d’abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives dans les cas où une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances de la violation.
(70) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or cette obligation génère une charge administrative et financière, sans pour autant avoir véritablement amélioré la protection des données à caractère personnel. En conséquence, l'obligation générale de notification devrait être supprimée et remplacée par des procédures et des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leur finalité. Dans de tels cas, une analyse d'impact relative à la protection des données devrait être réalisée par le responsable du traitement ou le sous‑traitant, préalablement au traitement, et devrait examiner notamment les dispositions, garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et pour démontrer que le présent règlement est respecté.
(71) Ceci devrait s'appliquer en particulier aux systèmes d'archivage à grande échelle récemment créés, qui servent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational et pourraient affecter un nombre important de personnes concernées.
(71 bis) Les analyses d'impact sont l'essence même de tout cadre viable de protection des données. Elles garantissent que les entreprises sont conscientes dès le départ de toutes les conséquences possibles de leurs opérations de traitement de données. Des analyses d'impact approfondies permettent de limiter de manière fondamentale le risque de violation des données ou de traitements portant atteinte à la vie privée. Les analyses d'impact relatives à la protection des données devraient, dès lors, porter sur la gestion des données à caractère personnel tout au long de leur cycle de vie, depuis la collecte jusqu'au traitement et à la suppression des données, en décrivant, en détail, les traitements envisagés, les risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour réduire ces risques, ainsi que les clauses de sauvegarde, les mesures de sécurité et les mécanismes destinés à garantir le respect du présent règlement. [Am. 44]
(71 ter) Les responsables du traitement devraient s'attacher à la protection des données à caractère personnel pendant la totalité du cycle de vie des données, depuis leur collecte jusqu'à leur suppression, en passant par le traitement, en investissant dès le départ dans un cadre viable de gestion des données et en effectuant un suivi au moyen d'un mécanisme complet de contrôle de conformité. [Am. 45]
(72) Il existe des cas dans lesquels il pourrait être judicieux et économique d'élargir l'analyse d'impact relative à la protection des données au-delà d'un projet unique, par exemple lorsque des autorités ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée.
(73) Une autorité ou un organisme publics ne devraient réaliser une analyse d'impact relative à la protection des données que si celle-ci n'a pas été faite au moment de l'adoption de la loi nationale régissant la mission de l'autorité ou de l'organisme publics concernés ainsi que l'opération ou l'ensemble d'opérations de traitement en question. [Am. 46]
(74) Lorsqu'une analyse d’impact relative à la protection des données indique que des opérations de traitement exposent les droits et libertés des personnes concernées à un degré élevé de risques particuliers, comme priver ces personnes d'un droit, ou de par l'utilisation de certaines technologies nouvelles, le délégué à la protection des données ou l'autorité de contrôle devrait devraient pouvoir être consultée consultés, avant le début de l'opération, sur un traitement risqué susceptible de ne pas être conforme au présent règlement, et formuler des propositions visant à y remédier. CetteUne consultation de l'autorité de contrôle devrait également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées. [Am. 47]
(74 bis) Les analyses d'impact ne peuvent être utiles que si les responsables du traitement s'assurent de respecter leurs engagements initialement fixés dans ces analyses. Les responsables du traitement devraient, dès lors, procéder, de manière périodique, à de conformité concernant la protection des données, attestant que les mécanismes de traitement des données en place sont conformes aux engagements pris dans l'analyse d'impact relative à la protection des données. Cet examen devrait également démontrer que le responsable du traitement est en mesure de respecter les choix autonomes des personnes concernées. Par ailleurs, si l'examen laisse apparaître des irrégularités, celles-ci doivent être soulignées, et il y a lieu de présenter des recommandations sur la manière d'assurer la pleine conformité. [Am. 48]
(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il concerne plus de 5000 personnes sur une période de 12 mois, ou lorsqu'il est effectué par une grande entreprise ou par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement sur des données sensibles, ou des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous‑traitant à vérifier le respect, au niveau interne, du présent règlement. Au moment de décider si des données concernant un grand nombre de personnes seront traitées, les données archivées qui sont limitées de manière à ce qu'elles ne soient pas soumises aux opérations usuelles d'accès aux données et de traitement des données exécutées par le responsable du traitement et à ce qu'elles ne puissent plus être modifiées, ne devraient pas être prises en compte. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement et qu'ils exécutent ou non cette tâche à plein temps, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance et bénéficier d'une protection spéciale contre le licenciement. La responsabilité ultime devrait continuer d'incomber à la direction de l'organisme. Le délégué à la protection des données devrait, en particulier, être consulté préalablement à la conception, à la fourniture, au développement et à la mise en place de tout système de traitement automatisé des données à caractère personnel, afin de garantir le respect des principes de protection de la vie privée dès la conception et par défaut. [Am. 49]
(75 bis) Le délégué à la protection des données devrait posséder au moins les qualifications suivantes: une connaissance étendue du contenu et de l'application de la législation en matière de protection des données, y compris les mesures et procédures techniques et organisationnelles; la maîtrise des exigences techniques concernant la protection de la vie privée dès la conception, la protection de la vie privée par défaut et la sécurité des données; une connaissance spécifique du secteur d'activité, conformément à la taille du responsable du traitement ou du sous-traitant et au caractère sensible des données à traiter; la capacité de mener à bien des inspections, des consultations, à établir une documentation et à effectuer des analyses de fichiers; et la capacité à travailler avec des représentants des employés. Le responsable du traitement devrait permettre au délégué à la protection des données de participer à des programmes de formation avancée afin de tenir à jour les connaissances spécialisées requises dans le cadre de l'exécution de ses tâches. La désignation à la fonction de délégué à la protection des données ne nécessite pas obligatoirement un emploi à temps plein de la part de l’employé concerné. [Am. 50]
(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer, après consultation des représentants des travailleurs, des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. De tels codes devraient simplifier le respect du présent règlement par les entreprises. [Am. 51]
(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de marques et de labels et de marques normalisées en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement, de manière fiable et vérifiable, le niveau de protection des données offert par les produits et services en question. Un "label européen de protection des données" devrait être établi au niveau européen afin de générer un climat de confiance parmi les personnes concernées et une sécurité juridique pour les responsables du traitement et, dans le même temps, exporter les normes européennes de protection des données en permettant aux entreprises non européennes d'entrer plus facilement sur les marchés européens en obtenant cette certification. [Am. 52]
(78) La circulation transfrontière des données à caractère personnel est nécessaire au développement de la coopération internationale et du commerce mondial. L’augmentation de ces flux a créé de nouveaux enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère personnel. Or il importe que, lorsque ces données sont transférées de l’Union vers des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri. En tout état de cause, les transferts vers des pays tiers ne peuvent avoir lieu que dans le plein respect du présent règlement.
(79) Le présent règlement ne remet pas en cause les accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées, qui garantissent un niveau de protection adéquat des droits fondamentaux des citoyens. [Am. 53]
(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union en ce qui concerne les pays tiers ou les organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation.La Commission peut également décider, après en avoir informé le pays tiers et lui avoir fourni une justification complète, de révoquer une telle décision. [Am. 54]
(81) Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation du pays tiers, prendre en considération la manière dont ce pays respecte l'état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme.
(82) La Commission peut également constater qu’un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Toute législation prévoyant un accès extraterritorial aux données à caractère personnel traitées dans l'Union sans autorisation conformément au droit de l'Union ou d'un État membre devrait être réputée ne pas offrir un niveau adéquat de protection. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale concernés. [Am. 55]
(83) En l’absence d’une décision relative au caractère adéquat du niveau de protection, le responsable du traitement ou le sous‑traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou d'autres mesures adaptées et proportionnées qui se justifient au regard des circonstances qui entourent une opération ou une série d'opérations de transfert de données, et dans les cas autorisés par une autorité de contrôle. Ces garanties appropriées devraient garantir le respect adéquat des droits des personnes concernées dans le cadre du traitement à l'intérieur de l'Union, notamment en ce qui concerne la limitation de la finalité, le droit à l'accès, la rectification, l'effacement et la réparation. Ces garanties devraient en particulier assurer le respect des principes du traitement des données à caractère personnel, préserver les droits des personnes concernées et prévoir des mécanismes de recours effectifs, assurer le respect des principes de la protection des données dès la conception ainsi que par défaut et garantir l'existence d'une fonction de délégué à la protection des données. [Am. 56]
(84) La possibilité qu'ont les responsables du traitement et les sous‑traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles‑ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les clauses types de protection des données adoptées par la Commission pourraient couvrir différentes situations, à savoir les transferts effectués par des responsables du traitement établis dans l'Union vers des responsables du traitement établis en dehors de l'Union et par des responsables du traitement établis dans l'Union vers des sous-traitants, y compris des sous-traitants ultérieurs, établis en dehors de l'Union. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties encore plus solides par l'intermédiaire d'engagements contractuels supplémentaires qui viendraient compléter les clauses types de protection. [Am. 57]
(85) Un groupe d’entreprises devrait être autorisé à recourir à des règles d'entreprise contraignantes pour ses transferts internationaux de l’Union vers des entités du même groupe, à condition que ces règles d'entreprise incluent l'ensemble des principes essentiels et des droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel. [Am. 85]
(86) Le présent règlement devrait autoriser les transferts dans certains cas où la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des motifs importants d'intérêt général établis par le droit de l'Union ou d'un État membre l'exigent, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le transfert ne devrait toutefois pas porter sur la totalité des données ni sur des catégories entières de données contenues dans le registre et, lorsque ce dernier est destiné à être consulté par des personnes qui y ont un intérêt légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent ou si elles en sont les destinataires, en tenant pleinement compte des intérêts et des droits fondamentaux de la personne concernée. [Am. 59]
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, ou en cas de transfert aux autorités publiques compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière, y compris la prévention du blanchiment d'argent et la lutte contre le financement du terrorisme. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou d'une autre personne, si la personne concernée se trouve dans l'incapacité de donner son consentement. Le transfert de données à caractère personnel pour des motifs d'intérêt public aussi importants ne devrait être utilisé que de manière occasionnelle. Dans chaque cas, il convient de mener une évaluation minutieuse de toutes les circonstances du transfert. [Am. 60]
(88) Les transferts qui ne peuvent être qualifiés de fréquents ou massifs pourraient également être autorisés aux fins de la poursuite des intérêts légitimes du responsable du traitement ou du sous-traitant, après que ces derniers ont évalué toutes les circonstances entourant le transfert. Pour les traitements à des fins de recherche historique, statistique et scientifique, il y aurait lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. [Am. 61]
(89) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat de la protection des données dans un pays tiers, le responsable du traitement ou le sous‑traitant devrait adopter des solutions qui garantissent de manière juridiquement contraignante aux personnes concernées qu'elles continueront de bénéficier des droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour le traitement des données les concernant, une fois que ces données auront été transférées, dans la mesure où le traitement n'est pas massif, répétitif et structurel. Cette garantie devrait comprendre une indemnisation en cas de perte de données, d'accès aux données ou de traitement de données non autorisés, ainsi que l'obligation, indépendamment du droit national, de fournir tous les détails de tout accès aux données par les autorités publiques d'un pays tiers. [Am. 62]
(90) Certains pays tiers édictent des lois, des règlements et d'autres instruments législatifs qui visent à régir directement des activités de traitement des données effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres. L’application extraterritoriale de ces lois, règlements et autres instruments législatifs peut être contraire au droit international et faire obstacle à la protection des personnes garantie dans l’Union par le présent règlement. Les transferts ne devraient donc être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt général reconnu par le droit de l'Union ou par le droit d'un État membre auquel le responsable des données est soumis. Les critères d'existence d'un motif important d'intérêt général devraient être précisés par la Commission dans un acte délégué. Lorsque les responsables du traitement ou les sous-traitants sont confrontés à des exigences de conformité contradictoires entre la juridiction de l'Union, d'une part, et celle d'un pays tiers, d'autre part, la Commission devrait toujours veiller à faire prévaloir la législation de l'Union. La Commission devrait fournir des orientations et une aide au responsable du traitement et au sous-traitant, et s'efforcer de résoudre le conflit de compétence avec le pays tiers en question. [Am. 63]
(91) Lorsque des données à caractère personnel franchissent les frontières, elles accroissent le risque que les personnes physiques ne puissent exercer leur droit à la protection des données, notamment pour se protéger de l’utilisation ou la divulgation illicite de ces informations. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontière peuvent également être freinés par les pouvoirs de prévention ou de réparation insuffisants dont elles disposent, par l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, afin qu'elles puissent échanger des informations et mener des enquêtes avec leurs homologues internationaux.
(92) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel. Les États membres ont la possibilité d'instituer plusieurs autorités de contrôle, pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Les autorités disposent des ressources financières et humaines adéquates afin de remplir pleinement leur mission, en tenant compte de la taille de la population et de la quantité de données à caractère personnel traitées. [Am. 64]
(93) Lorsqu'un État membre crée plusieurs autorités de contrôle, il devrait prévoir, dans sa législation, des dispositifs garantissant la participation effective de ces autorités au mécanisme de contrôle de la cohérence. Il devrait en particulier désigner l'autorité de contrôle qui servira de point de contact unique, permettant une participation efficace de ces autorités au mécanisme, afin d'assurer une coopération rapide et facile avec les autres autorités de contrôle, le comité européen de la protection des données et la Commission.
(94) Il convient que chaque autorité de contrôle soit dotée des moyens financiers et humains adéquats, en veillant tout particulièrement à ce que le personnel possèdeles qualifications techniques et juridiques adéquates, des locaux et des infrastructures nécessaires à la bonne exécution de leurs tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. [Am. 65]
(95) Les conditions générales applicables aux membres de l’autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, en prenant bien soin de réduire au minimum toute possibilité d'ingérence politique, et comprendre des dispositions régissant la qualification et la fonction de ces membres, ainsi que la prévention des conflits d'intérêts. [Am. 66]
(96) Il appartiendrait aux autorités de contrôle de surveiller l'application des dispositions du présent règlement et de contribuer à ce que cette application soit uniforme dans l'ensemble de l'Union, pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel et faciliter la libre circulation de ces données au sein du marché intérieur. À cet effet, il conviendrait que les autorités de contrôle coopèrent entre elles et avec la Commission.
(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous‑traitant a lieu dans plusieurs États membres, il conviendrait qu’une seule autorité de contrôle soit compétente pour surveiller les activités agisse en tant que guichet unique et autorité chef de file responsable du contrôle du responsable du traitement ou du sous‑traitant dans toute l'Union et pour prendre prenne les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous‑traitants. [Am. 67]
(98) L'autorité compétente chef de file, faisant ainsi office de guichet unique, devrait être l'autorité de contrôle de l'État membre dans lequel le responsable du traitement ou le sous‑traitant a son principal établissement ou son représentant. Le comité européen de la protection des données peut, dans certains cas, désigner l'autorité chef de file par le biais du mécanisme de contrôle de la cohérence, à la demande d'une autorité compétente. [Am. 68]
(98 bis) Les personnes concernées dont les données à caractère personnel sont traitées par un responsable du traitement ou un sous-traitant dans un autre État membre devraient pouvoir introduire une réclamation auprès de l'autorité de contrôle de leur choix. L'autorité chef de file chargée de la protection des données devrait coordonner ses travaux avec ceux des autres autorités impliquées. [Am. 69]
(99) Bien que le présent règlement s'applique également aux activités des juridictions nationales, la compétence des autorités de contrôle ne devrait pas s'étendre aux traitements de données à caractère personnel effectués par les juridictions lorsqu'elles agissent dans le cadre de leur fonction juridictionnelle, afin de préserver l'indépendance des juges dans le cadre de l’exercice de leur fonction juridictionnelle. Il convient toutefois que cette exception soit strictement limitée aux activités purement judiciaires intervenant dans le cadre d'affaires portées devant les tribunaux et qu'elle ne s'applique pas aux autres activités auxquelles les juges pourraient être associés en vertu du droit national.
(100) Afin d'assurer la cohérence du contrôle et de l'application du présent règlement dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont des pouvoirs d'enquête, d'intervention juridiquement contraignante, de décision et de sanction, en particulier en cas de réclamation introduite par des personnes physiques, ainsi que le pouvoir d'ester en justice. Les pouvoirs d'investigation des autorités de contrôle en matière d'accès aux locaux devraient être exercés conformément au droit de l'Union et au droit national applicable. Cela concerne en particulier l'obligation d'obtenir préalablement une autorisation judiciaire.
(101) Chaque autorité de contrôle devrait recevoir les réclamations introduites par les personnes concernées ou par des associations agissant dans l'intérêt général et mener les enquêtes en la matière. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée ou l'association de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée. [Am. 70]
(102) Les activités de sensibilisation organisées par les autorités de contrôle à l'intention du public devraient comprendre des mesures spécifiques destinées aux responsables du traitement et aux sous-traitants, y compris les micro, petites et moyennes entreprises, et aux personnes concernées.
(103) Les autorités de contrôle devraient se prêter mutuellement assistance dans l’exercice de leurs fonctions afin d'assurer une application cohérente du présent règlement dans le marché intérieur.
(104) Chaque autorité de contrôle devrait avoir le droit de participer à des opérations conjointes entre autorités de contrôle. L'autorité de contrôle requise devrait être tenue de répondre à la demande dans un délai déterminé.
(105) Afin de garantir l’application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou au suivi de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans le cadre du mécanisme de contrôle de la cohérence. En outre, les personnes concernées devraient avoirle droit d'exiger de la cohérence si elles estiment qu'une mesure mise en œuvre par l'autorité chargée de la protection des données d'un État membre ne répond pas à ce critère. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. [Am. 71]
(106) En application du mécanisme de contrôle de la cohérence, le comité européen de la protection des données devrait émettre un avis, dans un délai déterminé, si une majorité simple de ses membres le décide ou s'il est saisi d'une demande en ce sens par une autorité de contrôle ou par la Commission.
(106 bis) Afin de garantir l'application cohérente du présent règlement, le comité européen de la protection des données peut, dans des cas spécifiques, adopter une décision contraignante pour les autorités de contrôle compétentes. [Am. 72]
(107) Afin de garantir le respect du présent règlement, la Commission peut adopter un avis sur cette question, ou une décision ordonnant à l'autorité de contrôle de suspendre son projet de mesure. [Am. 73]
(108) Il peut être nécessaire d'agir de toute urgence pour protéger les intérêts des personnes concernées, en particulier lorsque l'exercice du droit d'une personne concernée risque d'être considérablement entravé. En conséquence, lorsqu'elle applique le mécanisme de contrôle de la cohérence, l'autorité de contrôle devrait pouvoir adopter des mesures provisoires d'une durée déterminée.
(109) L'application de ce mécanisme devrait conditionner la validité juridique et l'exécution de la décision par une autorité de contrôle. Dans d'autres cas présentant une dimension transfrontière, les autorités de contrôle concernées pourraient se prêter mutuellement assistance et mener des enquêtes conjointes sur une base bilatérale ou multilatérale, sans actionner le mécanisme de contrôle de la cohérence.
(110) Un comité européen de la protection des données devrait être créé au niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE. Il devrait se composer d'un directeur d'une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données. La Commission devrait participer à ses activités. Le comité européen de la protection des données devrait contribuer à l'application cohérente du présent règlement dans toute l'Union, notamment en conseillant la Commission les institutions de l'Union et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, y compris la coordination des opérations conjointes. Il devrait exercer ses fonctions en toute indépendance. Le comité européen de la protection des données devrait renforcer le dialogue avec les parties intéressées telles que les associations de personnes concernées, les organisations de consommateurs, les responsables du traitement et les autres parties et experts concernés. [Am. 74]
(111) Toute personne concernée devraitLes personnes concernées devraient avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours effectif devant un tribunalconformément à l’article 47 de la charte si elle estime elles estiment que les droits que lui leur confère le présent règlement ne sont pas respectés, si l’autorité de contrôle ne réagit pas à une réclamation ou si elle n’agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernéedes personnes concernées. [Am. 75]
(112) Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données l'intérêt général et qui est constitué(e) conformément au droit d’un État membre devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle au nom des personnes concernés avec leur consentement, ou d'exercer le droit de recours devant un tribunal au nom de s'il ou elle est mandaté(e) par les personnes concernées, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel du présent règlement a été commise. [Am. 76]
(113) Toute personne physique ou morale devrait disposer d'un droit de recours devant un tribunal contre les décisions d'une autorité de contrôle qui la concernent. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.
(114) Afin de renforcer la protection judiciaire de la personne concernée dans les cas où l'autorité de contrôle compétente est établie dans un autre État membre que celui dans lequel la personne concernée réside, cette dernière peut demander donner mandat à tout organisme, organisation ou association œuvrant à la protection des droits et intérêts des personnes concernées en vue de protéger leurs données à caractère personnel, d' dans l'intérêt général pour intenter, pour son compte, un recours contre l'autorité de contrôle en question devant la juridiction compétente de l'autre État membre. [Am. 77]
(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. Cela ne s'applique pas aux personnes ne résidant pas dans l'Union . L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande. [Am. 78]
(116) En ce qui concerne les recours à l'encontre d'un responsable du traitement ou d'un sous‑traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous‑traitant a un établissement ou, lorsque la personne concernée réside dans l'Union, dans l'État membre dans lequel la personne concernée elle réside, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l’exercice de la puissance publique. [Am. 79]
(117) S'il existe des raisons de penser que des procédures parallèles sont pendantes devant les juridictions de différents États membres, ces juridictions devraient être tenues de prendre contact les unes avec les autres. Les juridictions devraient avoir la possibilité de surseoir à statuer lorsqu'une affaire parallèle est pendante dans un autre État membre. Les États membres devraient veiller à ce que les actions en justice, pour être efficaces, permettent l'adoption rapide de mesures visant à réparer ou à prévenir une violation du présent règlement.
(118) Tout dommage, de nature financière ou non, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous‑traitant, qui ne peut s'exonérer de sa responsabilité que s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. [Am. 80]
(119) Toute personne de droit privé ou de droit public qui ne respecte pas le présent règlement devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application. Les règles relatives aux sanctions devraient être assorties de garanties procédurales adéquates en conformité avec les principes généraux du droit de l'Union et la charte, y compris le droit à un recours effectif devant un tribunal, le droit à un procès équitable et le principe non bis in idem. [Am. 81]
(119 bis) Lorsqu'ils appliquent des sanctions, les États membres devraient s'attacher à respecter pleinement les garanties procédurales adéquates, y compris le droit à un recours effectif devant un tribunal, le droit à un procès équitable et le principe non bis in idem. [Am. 82]
(120) Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir de sanctionner les infractions administratives. Le présent règlement devrait définir ces infractions ainsi que le montant maximal des amendes administratives dont elles sont passibles. Le montant de l'amende devrait être fixé, dans chaque cas, en fonction de la situation spécifique, compte dûment tenu, notamment, de la nature, de la gravité et de la durée de l'infraction. Il pourrait en outre être recouru au mécanisme de contrôle de la cohérence pour résoudre les divergences d'application des sanctions administratives.
(121) Si nécessaire, des exemptions ou des dérogations aux exigences de certaines dispositions du présent règlement pour le traitement de données à caractère personnel à des fins uniquement journalistiques ou aux fins d'expression artistique ou littéraire devrait pouvoir bénéficier d'une dérogation à certaines dispositions du présent règlement, devraient être prévues pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l’article 11 de la charte. Ceci devrait notamment s’appliquer aux traitements de données à caractère personnel dans le domaine de l’audiovisuel et dans les documents d'archives et bibliothèques de journaux. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable du traitement et le sous-traitant, le transfert des donnés données vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, et la coopération et la cohérence, et dans des cas spécifiques de traitement de données. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins des exemptions et dérogations à établir en vertu du présent règlement, les États membres devraient qualifier de «journalistiques» les activités ayant pour objet de afin de couvrir l'ensemble des activités tendant à communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre, en tenant également compte de l'évolution des technologies. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas. [Am. 83]
(122) Le traitement des données à caractère personnel concernant la santé, qui constituent une catégorie spéciale de données exigeant une protection plus élevée, peut souvent être justifié par divers motifs légitimes, dans l'intérêt des personnes et de la société dans son ensemble, notamment lorsqu'il s'agit d'assurer la continuité des soins de santé d'un pays à un autre. Le présent règlement devrait donc prévoir des conditions harmonisées pour le traitement des données à caractère personnel dans le domaine de la santé, en les assortissant de garanties spécifiques et appropriées pour protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Ceci inclut leur droit d'accéder aux données ayant trait à leur santé, par exemple les données des dossiers médicaux faisant état de diagnostics, de résultats d'examens, d'avis de médecins traitants ou de tout traitement ou intervention effectués.
(122 bis) Un professionnel qui traite des données à caractère personnel relatives à la santé devrait recueillir, dans la mesure du possible, des données anonymes ou pseudonymes, de sorte que l'identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données. [Am. 84]
(123) Le traitement de données à caractère personnel concernant la santé peut être nécessaire pour des raisons d'intérêt général dans les domaines de la santé publique, et sans le consentement de la personne concernée. Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition prévue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil(12) du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail, et désigner l'ensemble des éléments liés à la santé, à savoir, l'état de santé, y compris la morbidité et le handicap, les éléments déterminant cet état de santé, les besoins en soins de santé, les ressources allouées aux soins de santé, l'offre de soins et l'accès universel à ces soins ainsi que les dépenses et le financement des soins de santé et les causes de mortalité. Ces traitements de données à caractère personnel concernant la santé autorisés pour des motifs d'intérêt général ne doivent pas aboutir à ce que ces données soient traitées à d'autres fins par des tiers, tels que les employeurs, les compagnies d'assurance et les banques.[Am. 85]
(123 bis) Le traitement des données à caractère personnel concernant la santé, en tant que catégorie particulière de données, peut être nécessaire à des fins de recherche historique, statistique ou scientifique. Le présent règlement prévoit donc une dérogation à l'exigence de consentement dans les cas où la recherche sert un intérêt public élevé. [Am. 86]
(124) Les principes généraux concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel devraient également être applicables dans le contexte des relations de travail et de la sécurité sociale. En conséquence, pourLes États membres devraient pouvoir réglementer le traitement des données à caractère personnel des travailleurs dans le contexte des relations de travail et le dans ce contexte, les États membres devraient pouvoir, dans les limites du présent règlement, adopter par voie législative des règles spécifiques au traitement des données à caractère personnel dans le secteur de l’emploi contexte de la sécurité sociale, conformément aux règles et normes minimales fixées dans le présent règlement. Dans la mesure où il existe, dans l'État membre concerné, une base juridique qui permette de réglementer les affaires relevant des relations de travail par une convention entre les représentants des travailleurs et la direction de l'entreprise ou de l'entreprise qui exerce le contrôle d'un groupe (convention collective) ou au titre de la directive 2009/38/CE du Parlement européen et du Conseil(13), le traitement des données à caractère personnel dans le contexte des relations de travail peut également être réglementé par une telle convention. [Am. 87]
(125) Le traitement de données à caractère personnel à des fins de recherche statistique, historique ou scientifique devrait, pour être licite, également respecter d'autres législations pertinentes, telles que celle relative aux essais cliniques.
(125 bis) Les données à caractère personnel peuvent également faire l'objet d'un traitement ultérieur par des services d'archives qui ont pour mission principale ou obligatoire de collecter, conserver, communiquer, exploiter et diffuser des archives dans l'intérêt général. La législation des États membres devrait concilier le droit à la protection des données à caractère personnel avec la règlementation régissant les archives et l'accès des citoyens à l'information administrative. Les États membres devraient encourager l'élaboration, en particulier par le Groupe européen d'archives, de règles visant à garantir la confidentialité des données vis-à-vis des tiers et l'authenticité, l'intégrité et la bonne conservation des données. [Am. 88]
(126) Aux fins du présent règlement, la notion de «recherche scientifique» devrait comprendre la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et devrait en outre tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Le traitement de données à caractère personnel à des fins de recherche historique, statistique et scientifique ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre. [Am. 89]
(127) En ce qui concerne le pouvoir qu'ont les autorités de contrôle d'obtenir du responsable du traitement ou du sous‑traitant l’accès aux données à caractère personnel et l'accès à ses locaux, les États membres peuvent adopter par voie législative, dans les limites du présent règlement, des règles spécifiques visant à préserver le secret professionnel ou d'autres obligations équivalentes de confidentialité, dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et une obligation de secret professionnel.
(128) Conformément à l'article 17 du traité sur le fonctionnement de l'Union européenne, le présent règlement respecte et ne préjuge pas du statut dont bénéficient, en vertu du droit national, les églises et les associations ou communautés religieuses dans les États membres. Il s'ensuit que si, dans un État membre, une église applique, à la date d'entrée en vigueur du présent règlement, un ensemble complet adéquat de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ces règles existantes devraient continuer de s'appliquer si elles sont mises en conformité avec les dispositions du présent règlement et reconnues conformes. Ces églises et les associations religieuses devraient être tenues d'instituer une autorité de contrôle totalement indépendante. [Am. 90]
(129) Afin de réaliser les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l’Union, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l'Union européenne. En particulier, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant du mode de description fondé sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; icônes pour la fourniture d'informations; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les la déclaration de la conformité des codes de conduite avec le présent règlement; les critères et exigences applicables aux mécanismes de certification; le niveau adéquat de protection offert par un pays tiers ou par une organisation internationale;les critères et exigences applicables aux transferts encadrés par des règles d'entreprise contraignantes; les dérogations relatives aux transferts; les sanctions administratives; les traitements le traitement de données à des fins médicales; les traitements de santé et le traitement de données dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique cadre des relations de travail. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction, en particulier avec le comité européen de la protection des données. Il convient que, lorsqu'elle prépare et élabore des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, veille à ce que les documents pertinents soient transmis, simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil. [Am. 91]
(130) Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission pour définir des formulaires types relatifs au à des méthodes particulières d'obtention du consentement vérifiable en lien avec le traitement des données à caractère personnel d’un enfants; des procédures et formulaires types pour communiquer aux personnes concernées des informations sur l'exercice des de leurs droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les des formulaires types et les procédures pour concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; et le droit à la portabilité des données; des formulaires types concernant les obligations du la documentation devant être conservée par le responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures et le sous-traitant; le formulaire type pour notifier les violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation conserver une trace documentaire des violations de données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation et d'information préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l’Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme des autorités de contrôle de la cohérence. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(14). Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. [Am. 92]
(131) La procédure d'examen devrait être appliquée pour l'établissement desadoption de formulaires types en vue de l' relatifs aux méthodes particulières d'obtention du consentement d'un enfant vérifiable en lien avec le traitement des données à caractère personnel d’un enfant; des procédures et formulaires types pour communiquer aux personnes concernées des informations sur l'exercice de leurs droits de la personne concernée; des formulaires types; pour l'information de la personne concernée; des formulaires types et des procédures pour concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; et le droit à la portabilité des données; des formulaires types concernant les obligations du la documentation devant être conservée par le responsable du traitement et le sous-traitant; en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification pour notifier les violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des conserver une trace documentaire des violations de données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation pour la consultation et l'information préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l’Union; de l'assistance mutuelle; des opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de l'autorité de contrôle de la cohérence, puisque ces actes sont de portée générale. [Am. 93]
(132) La Commission devrait adopter des actes d’exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, ou un territoire ou secteur de traitement de données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, ou concernant des questions communiquées par les autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence, des raisons d’urgence impérieuses l’exigent. [Am. 94]
(133) Étant donné que les objectifs du présent règlement, à savoir assurer un niveau équivalent de protection des personnes physiques et la libre circulation des données dans l'ensemble de l'Union, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison des dimensions ou des effets de l'action, l’être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.
(134) La directive 95/46/CE devrait être abrogée par le présent règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et les autorisations qui ont été accordées par les autorités de contrôle, sur le fondement de ladite directive devraient demeurer en vigueur. Les décisions de la Commission et les autorisations accordées par les autorités de contrôle relatives aux transferts de données à caractère personnel vers des pays tiers en vertu de l'article 41, paragraphe 8, devraient demeurer en vigueur pour une période transitoire de cinq ans après l'entrée en vigueur du présent règlement à moins qu'elles ne soit modifiées, remplacées ou abrogées par la Commission avant la fin de cette période. [Am. 95]
(135) Le présent règlement devrait s'appliquer à tous les aspects de la protection des droits et libertés fondamentaux à l'égard du traitement des données à caractère personnel, qui ne relèvent pas d'obligations spécifiques, ayant le même objectif, énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil(15), y compris les obligations incombant au responsable du traitement et les droits des personnes physiques. Afin de clarifier la relation entre le présent règlement et la directive 2002/58/CE, cette dernière devrait être modifiée en conséquence.
(136) En ce qui concerne l'Islande et la Norvège, le présent règlement constitue un développement des dispositions de l'acquis de Schengen, dans la mesure où il s'applique au traitement des données à caractère personnel par les autorités participant à la mise en œuvre de cet acquis, au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(16).
(137) En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l'acquis de Schengen, dans la mesure où il s'applique au traitement des données à caractère personnel par les autorités participant à la mise en œuvre de cet acquis, au sens de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(17).
(138) En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l'acquis de Schengen dans la mesure où il s'applique au traitement des données à caractère personnel par les autorités participant à la mise en œuvre de cet acquis, au sens du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(18).
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n’apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la charte, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique,
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet et objectifs
1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel.
3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Article 2
Champ d'application matériel
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, quel que soit le moyen de traitement, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel:
a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union,en ce qui concerne notamment la sécurité nationale;
b) par les institutions, organes et organismes de l'Union;
c) par les États membres dans l'exercice d'activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l'Union européenne;
d) par une personne physique sans but lucratif dans le cadre d’activités exclusivement personnelles ou domestiques;. Cette dérogation s'applique également à une publication de données à caractère personnel lorsqu'il peut raisonnablement être escompté que seul un nombre limité de personnes y aura accès;
e) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.
3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires. [Am. 96]
Article 3
Champ d'application territorial
1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.
2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire dans l'Union, par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées; ou
b) au suivi de leur comportementces personnes concernées.
3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où le droit national d’un État membre s’applique en vertu du droit international public. [Am. 97]
Article 4
Définitions
Aux fins du présent règlement, on entend par:
(1) «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
(2) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d'identification, des données de localisation, un identifiant unique ou un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne;
2 bis) "données pseudonymes", des données à caractère personnel qui ne peuvent pas être attribuées à une personne concernée déterminée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution;
2 ter) "données cryptées", des données à caractère personnel qui sont rendues inintelligibles par des mesures de protection technologique pour toute personne qui n'est pas autorisée à y avoir accès;
3) «traitement de données à caractère personnel», toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et appliquée(s) à des données à caractère personnel ou à des ensembles de données personnelles, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction;
3 bis) "profilage", toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement;
4) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
5) «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par le droit d'un État membre;
6) «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
7) «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel;
7 bis) "tiers", toute personne physique ou morale, autorité publique, service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;
8) «consentement de la personne concernée», toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;
9) «violation de données à caractère personnel», une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d’une autre manière;
10) «données génétiques», toutes les données, de quelque nature que ce soit, concernant les à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises à un stade précoce de son développement prénatal, résultant d'une analyse d'un échantillon biologique de la personne en question, notamment par une analyse des chromosomes, de l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou d'une analyse de tout autre élément permettant d'obtenir des informations équivalentes;
11) «données biométriques», toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;
12) «données concernant la santé», toute information relative toute donnée à caractère personnel relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne;
13) «établissement principal», en ce qui concerne le responsable du traitement, le lieu d’établissement de l'entreprise ou du groupe d'entreprises dans l'Union, qu'il s'agisse du responsable du traitement ou du sous-traitant, où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel.; si aucune décision de ce type n’est prise dans l’Union, l’établissement principalIl peut être notamment tenu compte des critères objectifs suivants: la localisation du siège du responsable du traitement ou du sous-traitant; la localisation de l'entité au sein du groupe d'entreprises qui est la mieux placée en termes de fonctions de direction et de responsabilités administratives pour traiter et faire appliquer les règles énoncées dans le présent règlement;le lieu où sont exercées les principales activités de traitementdes données dans le cadre des activités d’un établissement d’un responsable du traitement dans l’Union; en ce qui concerne le sous-traitant, on entend par «établissement principal» le lieu de son administration centrale dans l'Unionla localisation du lieu d’exercice effectif et réel des activités de gestion déterminant le traitement des données au moyend'une installation stable;
14) «représentant», toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit en lieu et place de représente ce dernier et peut être contactée à sa place par les autorités de contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement;
15) «entreprise», toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;
16) «groupe d'entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;
17) «règles d'entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un soustraitant établi sur le territoire d’un État membre de l’Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un soustraitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises;
18) «enfant», toute personne âgée de moins de dix-huit ans;
19) «autorité de contrôle», une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 46. [Am. 98]
CHAPITRE II
PRINCIPES
Article 5
Principes relatifs au traitement des données à caractère personnel
Les données à caractère personnel doivent être sont:
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas être traitées ultérieurement de manière incompatible avec ces finalités (limitation de la finalité);
c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel (limitation des données au minimum);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (exactitude);
e) conservées sous une forme permettant l'identification directe ou indirecte des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu’à des fins de recherche historique, statistique ou scientifique ou pour être archivées conformément aux règles et aux conditions énoncées aux articles 83 et 83 bis et s’il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation et, le cas échéant, si des mesures techniques et organisationnelles sont mises en place afin de limiter l'accès aux données à ces seules fins (minimisation de la durée de conservation);
e bis) traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits (effectivité);
e ter) traités de façon à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité);
f) traitées sous la responsabilité du responsable du traitement, qui veille au respect de chaque opération de traitement des dispositions du présent règlement et est en mesure d'en apporter apporte la preuve . [Am. 99]
Article 6
Licéité du traitement
1. Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l’une au moins des situations suivantes s'applique:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;
e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un le responsable du traitement, ou, en cas de divulgation, par le tiers à qui les données sont divulguées, et qui répondent aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement, à moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.
2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties visées à l'article 83.
3. Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans:
a) le droit de l'Union, ou
b) le droit de l'État membre auquel le responsable du traitement est soumis.
Le droit de l'État membre doit répondre à un objectif d’intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, respecter l’essence du droit à la protection des données à caractère personnel et être proportionné à l'objectif légitime poursuivi. Dans les limites du présent règlement, le droit de l'État membre peut fournir des détails relatifs à la licéité du traitement, en particulier concernant les responsables du traitement, la finalité du traitement et la limitation de cette finalité, le type de données et les personnes concernées, les opérations et procédures de traitement, les destinataires, ainsi que la durée de conservation.
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. [Am. 100]
Article 7
Conditions de consentement
1. Lorsque le traitement est basé sur le consentement, la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître clairement sous une forme qui le distingue de cette autre affaire. Les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le présent règlement sont entièrement nulles.
3. Nonobstant les autres bases juridiques pour le traitement, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Il est aussi simple de retirer son consentement que de le donner.La personne concernée est informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement.
4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement.est limité par la finalité et devient caduc lorsque cette finalité n'existe plus ou dès que le traitement des données à caractère personnel n'est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées. L'exécution d'un contrat ou la fourniture d'un service n'est pas soumise à la condition préalable du consentement au traitement des données qui ne sont pas nécessaires à l'exécution du contrat ou à la fourniture du service, en vertu de l'article 6, paragraphe 1, point b). [Am. 101]
Article 8
Traitement de données à caractère personnel relatives aux enfants
1. Aux fins du présent règlement, s'agissant de l'offre directe de biens ou de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde son tuteur légal. Le responsable du traitement s’efforce raisonnablement d'obtenir un de vérifier ce consentement vérifiable, compte tenu des moyens techniques disponibles, sans pour autant causer de traitement inutile de données à caractère personnel.
1 bis. Les informations fournies aux enfants, aux parents et aux tuteurs légaux pour leur permettre d’exprimer leur consentement, y compris en ce qui concerne la collecte et l'utilisation des données à caractère personnel par le responsable du traitement, devraient être communiquées dans des termes clairs adaptés au public visé.
2. Le paragraphe 1 n'affecte pas le droit général des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l’égard d’un enfant.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigencesLe comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques applicables aux méthodes d'obtention de vérification du consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. paragraphe 1, conformément à l'article 66.
4. La Commission peut établir des formulaires types pour les méthodes particulières d'obtention du consentement vérifiable prévu au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 102]
Article 9
Traitements portant sur desCatégories particulières de données à caractère personnel
1. Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance syndicale et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, à des sanctions administratives, à des jugements, à des infractions pénales ou à des infractions présumées, à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.
2. Le paragraphe 1 ne s'applique pas lorsquesi l'une des conditions suivantes est remplie:
a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel à une ou plusieurs fins spécifiques, dans les conditions fixées aux articles 7 et 8, sauf lorsque le droit de l’Union ou le droit d’un État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; ou
a bis) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par le droit d’un État membre ou par des conventions collectives prévoyant des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée, tels que le droit à la non-discrimination, sous réserve des conditions et des garanties visées à l'article 82; ou
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ; ou
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement de la personne concernée; ou
e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou
g) le traitement est nécessaire à l'exécution d'une mission effectuée dans l' pour des raisons servant un intérêt public élevé, sur le fondement du droit de l’Union ou du droit d’un État membre, qui doit être proportionné à l'objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées à adéquates pour la sauvegarde des droits fondamentaux et des intérêts légitimes de la personne concernée; ou
h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties visées à l'article 81; ou
i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties visées à l'article 83; ou
i bis) le traitement est nécessaire pour des services d'archives, sous réserve des conditions et des garanties visées à l'article 83 bis; ou
j) le traitement des données relatives aux sanctions administratives, aux jugements, aux infractions pénales, aux condamnations pénales, ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, et dans la mesure où ce traitement est autorisé par le droit de l’Union ou par le droit d'un État membre prévoyant des garanties adéquates. Un pour les droits fondamentaux et les intérêts de la personne concernée. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriéesLe comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques pour le traitement des catégories particulières de données à caractère personnel visées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2, conformément à l'article 66. [Am. 103]
Article 10
Traitement ne permettant pas l'identification
1. Si les données traitées par un responsable du traitement ne lui permettent pas, ou ne permettent pas au sous-traitant, d'identifier directement ou indirectement une personne physique, ou consistent uniquement en des données pseudonymes, le responsable du traitement n'est pas tenu d'obtenir ne traite ni n'obtient des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement.
2. Lorsque le responsable du traitement n'est pas en mesure de se conformer à une disposition du présent règlement en raison du paragraphe 1, il n'est pas tenu de respecter cette disposition particulière du présent règlement. Lorsque, de ce fait, le responsable du traitement n'est pas en mesure de satisfaire à une demande de la personne concernée, il en informe cette dernière. [Am. 104]
Article 10 bis
Principes généraux en matière de droits des personnes concernées
1. Le fondement de la protection des données consiste en la détermination de droits clairs et univoques pour les personnes concernées, devant être respectés par le responsable du traitement. Les dispositions du présent règlement visent à renforcer, clarifier, garantir et, le cas échéant, codifier ces droits.
2. Ces droits incluent, notamment, la communication à la personne concernée d'informations claires et aisément compréhensibles quant au traitement de ses données à caractère personnel, le droit d'accéder à ses données, de les rectifier et de les effacer, le droit d'obtenir des données, le droit de s'opposer au profilage, le droit de déposer une réclamation auprès de l'autorité chargée de la protection des données compétente et le droit d'engager une action en justice, ainsi que le droit d'obtenir réparation et de percevoir des dommages et intérêts en cas d'opération de traitement illicite. Ces droits sont, en général, exercés sans frais. Le responsable du traitement répond aux demandes de la personne concernée dans un délai raisonnable. [Am. 105]
CHAPITRE III
DROITS DE LA PERSONNE CONCERNÉE
SECTION 1
TRANSPARENCE ET MODALITÉS
Article 11
Transparence des informations et des communications
1. Le responsable du traitement applique des règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et pour l’exercice des droits des personnes concernées.
2. Le responsable du traitement fournit toute information et toute communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, adaptés à la personne concernée, en particulier lorsqu'une information est adressée spécifiquement à un enfant. [Am. 106]
Article 12
Procédures et mécanismes prévus pour l'exercice des droits de la personne concernée
1. Le responsable du traitement établit les procédures d'information prévues à l’article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement fournit également les moyens d'effectuer des demandes par voie électronique lorsque cela est possible.
2. Le responsable du traitement informe la personne concernée sans tarder retard injustifié et, au plus tard, dans un délai d'un mois de 40 jours civils à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure prise en vertu des articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est, dans une mesure raisonnable, nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit et, lorsque cela est possible, le responsable du traitement des données peut donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement à ses données à caractère personnel. Lorsque la personne concernée effectue la demande sous forme électronique, les informations sont fournies sous forme électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.
3. Si le responsable du traitement refuse de prendre des ne prend pas les mesures demandées par la personne concernée, il informe cette dernière des motifs du refus de son inaction, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4.
6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.[Am. 107]
Article 13
Droits à l'égard des destinataires Obligation de notifier les rectifications et les effacements
Le responsable du traitement communique à chaque destinataire à qui les données ont été transmisestransférées toute rectification ou tout effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de ces destinataires si celle-ci en fait la demande. [Am. 108]
Article 13 bis
Politiques d'information normalisées
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement informe la personne concernée des éléments suivants avant de fournir les informations en vertu de l'article 14:
a) si les données à caractère personnel sont collectées au-delà du minimum nécessaire pour chaque finalité spécifique du traitement;
b) si les données à caractère personnel sont conservées au-delà du minimum nécessaire pour chaque finalité spécifique du traitement;
c) si les données à caractère personnel sont traitées à des fins autres que celles de leur collecte;
d) si les données à caractère personnel sont divulguées à des tiers commerciaux;
e) si les données à caractère personnel sont vendues ou louées;
f) si les données à caractère personnel sont conservées sous forme cryptée.
2. Les éléments visés au paragraphe 1 sont présentés conformément à l'annexe du présent règlement sous la forme d'un tableau aligné, au moyen de texte et de pictogrammes, dans les trois colonnes suivantes:
a) la première colonne représente les formes graphiques symbolisant ces éléments;
b) la deuxième colonne contient des informations essentielles décrivant ces éléments;
c) la troisième colonne représente les formes graphiques indiquant si la réponse à un élément spécifique est affirmative ou négative.
3. Les informations visées aux paragraphes 1 et 2 sont présentées de manière facilement visible et clairement lisible et dans un langage aisément compris par les consommateurs des États membres auxquels les informations sont fournies. Lorsque les éléments sont présentés par voie électronique, ils sont lisibles par machine.
4. Il n’est pas fourni d'éléments supplémentaires. Des explications détaillées ou des remarques supplémentaires concernant les éléments visés au paragraphe 1 peuvent être fournies en même temps que les autres informations requises en vertu de l'article 14.
5. La Commission est habilitée, après avoir demandé l’avis du comité européen de la protection des données, à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les éléments visés au paragraphe 1 ainsi que leur présentation telle qu'indiquée au paragraphe 2 et à l'annexe du présent règlement. [Am. 109]
SECTION 2
INFORMATION ET ACCÈS AUX DONNÉES
Article 14
Informations à fournir la personne concernée
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement fournit à cette personne auà tout le moins les informations suivantes, après qu'elle ait été informée des éléments visés à l'article 13 bis:
a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;
b) les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que les informations relatives à la sécurité du traitement des données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l’article 6, paragraphe 1, point b), et, le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur informations relatives à la façon dont sont mises en œuvre et satisfaites les exigences visées à l’article 6, paragraphe 1, point f);
c) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée;
d) l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données, ou d'obtenir des données;
e) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;
f) les destinataires ou les catégories de destinataires des données à caractère personnel;
g) le cas échéant, l’intention du responsable du traitement d'effectuer un transfert de données vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers l'existence ou l'organisation internationale en question, par référence à absence d'une décision relative au caractère adéquat du niveau de protection rendue par la Commission ou, dans le cas des transferts visés à l'article 42 ou 43, la référence aux garanties appropriées et les moyens d'en obtenir une copie;
g bis) le cas échéant, des informations relatives à l'existence d'un profilage, de mesures fondées sur le profilage et aux effets escomptés du profilage sur la personne concernée;
g ter) des informations utiles relatives à la logique qui sous-tend tout traitement automatisé;
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées ou traitées, notamment l'existence de certaines activités et opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données a fait état d'un risque élevé;.
h bis) le cas échéant, des informations indiquant si les données à caractère personnel ont été fournies aux autorités publiques au cours de la dernière période de 12 mois consécutifs.
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
2 bis. En se prononçant sur les informations supplémentaires qui sont nécessaires pour que traitement soit loyal conformément au paragraphe 1, point h), les responsables du traitement tiennent compte de toute orientation pertinente formulée au titre de l'article 34.
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel spécifiques. Si les données à caractère personnel émanent de sources accessibles au public, une indication générale peut être donnée.
4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3:
a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou, si cela n'est pas faisable, sans retard injustifié; ou
a bis) sur demande d'un organe, d'une organisation ou d'une association visé à l'article 73;
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou autrement traitées, ou si la communication à un transfert vers un autre destinataire est envisagée envisagé, et au plus tard au moment où du premier transfert ou, si les données sont communiquées pour la doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première fois. communication avec cette personne; ou
b bis) uniquement sur demande lorsque les données sont traitées par une petite ou micro-entreprise qui ne traite de données à caractère personnel qu'à titre accessoire.
5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:
a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3; ou
b) les données sont traitées à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et garanties visées aux articles 81 et 83, ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés, et que le responsable du traitement a publié les informations afin que toute personne soit en mesure de les retrouver; ou
c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation à laquelle le responsable du traitement est soumis et qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, en tenant compte des risques que représentent le traitement et la nature des données à caractère personnel; ou
d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autruid'autres personnes physiques tels qu'ils sont définis dans le droit de l'Union ou le droit d’un État membre, conformément à l'article 21;
d bis) les données sont traitées, dans l’exercice de sa profession, par une personne soumise à une obligation de secret professionnel réglementée par le droit de l'Union ou d'un État membre ou à un devoir légal de confidentialité, ou sont confiées ou portées à la connaissance d’une telle personne, à moins que les données ne soient collectées directement auprès de la personne concernée.
6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protégerles droits ou les intérêts légitimes de la personne concernée.
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises.
8. La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 110]
Article 15
Droit d'accès de la personne concernée d'accéder aux données et de les obtenir
1. Sous réserve de l'article 12, paragraphe 4, la personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit, et, dans un langage clair et simple, les informations suivantes:
a) les finalités du traitement pour chaque catégorie de données à caractère personnel;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particuliernotamment les destinataires établis dans des pays tiers;
d) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée;
e) l’existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;
f) le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;
g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données;
h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20 ;
h bis) des informations utiles relatives à la logique qui sous-tend tout traitement automatisé;
h ter) sans préjudice de l'article 21, lorsque des données à caractère personnel ont été divulguées à une autorité publique à la demande de cette dernière, la confirmation qu'une telle demande a bien été faite.
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée fait la demande sous forme électronique, les informations sont fournies sousdans un forme format électronique et structuré, à moins que la personne concernée ne demande qu'il en soit autrement. Sans préjudice de l'article 10, le responsable du traitement prend toutes les mesures raisonnables pour vérifier que la personne demandant l'accès aux données est la personne concernée.
2 bis. Lorsque les données à caractère personnel ont été communiquées par la personne concernée et que ces données font l'objet d'un traitement automatisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données à caractère personnel communiquées dans un format électronique interopérable qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle. Lorsque cela est techniquement réalisable et matériellement possible, les données sont transférées directement d'un responsable du traitement à un autre à la demande de la personne concernée.
2 ter. Le présent article est sans préjudice de l'obligation de supprimer des données devenues inutiles en vertu de l'article 5, paragraphe 1, point e).
2 quater. Il n'existe aucun droit d'accès conformément aux paragraphes 1 et 2 lorsque des données au sens de l'article 14, paragraphe 5, point d bis), sont concernées, à moins que la personne concernée n'ait le pouvoir de lever le secret en question et agit en ce sens.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g).
4. La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l’identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 111]
SECTION 3
RECTIFICATION ET EFFACEMENT
Article 16
Droit de rectification
La personne concernée a le droit d'obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris au moyen d'une déclaration rectificative complémentaire.
Article 17
Droit à l'oubli numérique et à l'effacement
1. La personne concernée a le droit d'obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des et d’obtenir de tiers l'effacement de tous les liens vers ces données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était enfant, ou de toute copie ou reproduction de celles-ci, pour l'un des motifs suivants:
a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données;
c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19;
c bis) une juridiction ou une autorité réglementaire basée dans l'Union a jugé que les données concernées doivent être effacées et cette décision est passée en force de chose jugée;
d) le traitement desles données n'est pas conforme au présent règlement pour d'autres motifs.ont fait l'objet d'un traitement illicite.
1 bis. L'application du paragraphe 1 dépend de la capacité du responsable du traitement à vérifier que la personne demandant l'effacement est la personne concernée.
2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel sans aucune justification fondée sur l'article 6, paragraphe 1, il prend toutes les mesures raisonnables pour que ces données soient effacées, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le par des tiers, sans préjudice de l'article 77. Le responsable du traitement a autorisé un informe la personne concernée, lorsque cela est possible, des mesures prises par les tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. concernés.
3. Le responsable du traitement procèdeet, le cas échant, le tiers procèdent à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire:
a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80;
b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81;
c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83;
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par le droit d'un État membre auquel le responsable du traitement est soumis; le droit de l'État membre doit répondre à un objectif d’intérêt général, respecter l’essence du droit à la protection des données à caractère personnel et être proportionné à l'objectif légitime poursuivi;
e) dans les cas mentionnés au paragraphe 4.
4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel de manière à ce qu'elles ne soient pas soumises aux manipulations usuelles d'accès aux données et de traitement des données et qu'elles ne puissent plus être modifiées:
a) pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données lorsque cette dernière est contestée par la personne concernée;
b) lorsqu’elles ne sont plus utiles au responsable du traitement pour qu’il s’acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires ; ou
c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;
c bis) lorsqu'une juridiction ou une autorité réglementaire basée dans l'Union a jugé que le traitement des données concernées doit être limité et cette décision est passée en force de chose jugée;
d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 18 15, paragraphe 2 2 bis.
d bis) lorsque le type particulier de technologie de stockage ne permet pas l'effacement et a été mis en place avant l'entrée en vigueur du présent règlement.
5. Les données à caractère personnel visées au paragraphe 4 ne peuvent être traitées, à l’exception de la conservation, qu’à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d’une autre personne physique ou morale ou pour un objectif d’intérêt général.
6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.
7. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l’effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.
8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel.
8 bis. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l'effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.
9. La Commission est habilitée à adopter, après avoir demandé l’avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 86, aux fins de préciser:
a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données;
b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2;
c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4. [Am. 112]
Article 18
Droit à la portabilité des données
1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée.
2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle.
3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 113]
SECTION 4
DROIT D'OPPOSITION ET PROFILAGE
Article 19
Droit d'opposition
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), et e), à moins que le responsable du traitement n'établisse l’existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée.
2. Lorsque les le traitement de données à caractère personnel sont traitées à des fins de marketing direct, est fondé sur l'article 6, paragraphe 1, point f), la personne concernée a le droit de s'opposer sans frais, à tout moment et sans autre justification, à titre général ou à toute fin spécifique, au traitement des données à caractère personnel la concernant en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations.
2 bis. Le droit visé au paragraphe 2 est explicitement proposé à la personne concernée d'une façon et sous une forme intelligible, dans un langage simple et clair, en particulier si la personne concernée est un enfant, et doit pouvoir être clairement distingué d'autres informations.
2 ter. Dans le contexte de l'utilisation des services de la société de l'information, et nonobstant la directive 2002/58/CE, le droit d'opposition peut être exercé à l'aide de procédés automatisés en utilisant une norme technique permettant à la personne concernée d'exprimer clairement sa volonté.
3. Lorsqu'il est fait droit à une opposition en vertu des paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées aux fins définies dans l'opposition. [Am. 114]
Article 20
Mesures fondées sur le Profilage
1. Sans préjudice des dispositions de l'article 6, toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. s'opposer au profilage conformément à l'article 19. La personne concernée est informée de son droit de s'opposer au profilage de façon très visible.
2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1un profilage qui conduit à des mesures produisant des effets juridiques pour la personne concernée ou qui, de façon similaire, affecte de manière significative les intérêts, les droits ou libertés de la personne concernée que si le traitement:
a) est effectué dans le cadre nécessaire aux fins de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées, à condition que des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d’obtenir une intervention humaine aient été invoquées; ou
b) est expressément autorisé par le droit de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou
c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l’article 7 et de garanties appropriées.
3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physiqueTout profilage qui a pour effet d'instaurer à l’égard de personnes physiques des discriminations fondées sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, l'orientation sexuelle ou l'identité de genre, ou qui se traduit par des mesures produisant un tel effet, est interdit. Le responsable du traitement met en œuvre des mesures de protection efficace contre les discriminations pouvant découler du profilage. Le profilage ne peut être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l’article 9.
4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l’existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables auxLe profilage qui conduit à des mesures produisant des effets juridiques pour la personne concernée ou qui, de manière similaire, affecte de manière significative les intérêts,les droits ou les libertés de la personne concernée ne peut être fondé exclusivement ou principalement sur le traitement automatisé et inclut une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation.Les mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2 incluent le droit d'obtenir une appréciation humaine et une explication de la décision prise à la suite de cette appréciation.
5 bis. Le comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques conformément à l'article 66, paragraphe 1, point b), en vue de préciser davantage les critères et conditions s'appliquant au profilage en vertu du paragraphe 2. [Am. 115]
SECTION 5
Limitations
Article 21
Limitations
1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 19 et à l'article 32, lorsqu'une telle limitation pour autant que cette limitation poursuive un objectif clairement défini d'intérêt général, qu'elle respecte l’essence du droit à la protection des données à caractère personnel, qu'elle soit proportionnée à l'objectif légitime poursuivi, qu'elle respecte les droits fondamentaux et les intérêts de la personne concernée, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour:
a) assurer la sécurité publique;
b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;
c) sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés;les aspects fiscaux;
d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à dans le cadre de l'exercice de l' d'une autorité publique compétente, dans les cas visés aux points a), b), c) et d);
f) garantir la protection de la personne concernée ou des droits et libertés d'autrui.
2. Tout mesure législative visée au paragraphe 1 doit être nécessaire et proportionnée dans une société démocratique et doit notamment contenir des dispositions spécifiques relatives, au moins,:
a) aux finalités du traitement;et
b) aux modalités d'identification du responsable du traitement.;
c) aux finalités et moyens spécifiques du traitement;
d aux garanties destinées à prévenir les abus ou la consultation ou le transfert illicite;
e) au droit des personnes concernées à être tenues informées de toute limitation.
2 bis. Les mesures législatives visées au paragraphe 1 n'autorisent ni n'obligent les responsables du traitement privés à conserver des données qui s’ajouteraient à celles strictement nécessaires pour les finalités prévues à l'origine. [Am. 116]
CHAPITRE IV
RESPONSABLE DU TRAITEMENT ET SOUS‑TRAITANT
SECTION 1
OBLIGATIONS GÉNÉRALES
Article 22
Obligations incombant Responsabilité du responsable du traitementet obligation de rendre des comptes à charge du responsable du traitement
1. Le responsable du traitement adopte des règles internes appropriées et met en œuvre les des mesures techniques et organisationnelles appropriées et démontrables pour garantir, et être à même de démontrer de façon transparente, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement, compte étant tenu des techniques les plus récentes, de la nature du traitement des données à caractère personnel, du contexte, de la portée et des finalités du traitement, des risques pour les droits et libertés de la personne concernée et du type d'organisation, tant lors de la définition des moyens de traitement que lors du traitement proprement dit.
1 bis. Compte étant tenu des techniques les plus récentes et du coût de mise en œuvre, le responsable du traitement prend toutes les mesures raisonnables pour appliquer des politiques et procédures de conformité qui respectent systématiquement les choix indépendants des personnes concernées. Ces politiques de conformité sont révisées tous les deux ans au moins et mises à jour si nécessaire.
2. Les mesures prévues au paragraphe 1 portent notamment sur:
a) la tenue de la documentation en application de l'article 28;
b) la mise en œuvre des obligations en matière de sécurité des données prévues à l’article 30;
c) la réalisation d'une analyse d’impact relative à la protection des données en application de l'article 33;
d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;
e) la désignation d'un délégué à la protection des données en application de l’article 35, paragraphe 1.
3. Le responsable du traitement met en œuvre des mécanismes pour vérifier l’efficacité est en mesure de démontrer le caractère adéquat et efficace des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d' Les rapports généraux d'activité réguliers du responsable du traitement, tels que les rapports obligatoires des sociétés cotées en bourse, contiennent une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. description des règles internes et mesures visées au paragraphe 1.
3 bis. Le responsable du traitement a le droit de transmettre des données à caractère personnel dans l'Union au sein du groupe d'entreprises dont il est fait partie, lorsque ce traitement est nécessaire à des fins administratives internes légitimes entre des zones commerciales connectées du groupe d'entreprises, et si un niveau adéquat de protection des données ainsi que les intérêts des personnes concernées sont garantis par des dispositions internes en matière de protection des données ou des codes de conduite équivalents tels que visés à l'article 38.
4. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises. [Am. 117]
Article 23
Protection des données dès la conception et protection des données par défaut
1. Compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des coûts liés à leur mise en œuvre, risques représentés par le traitement des données, le responsable du traitement applique et, le cas échéant, le sous-traitant mettent en oeuvre, tant lors de la définition des finalités et des moyens de traitement que lors du traitement proprement dit, les des mesures et procédures techniques et organisationnelles appropriées et proportionnées, de manière à ce que le traitement réponde aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, notamment en ce qui concerne les principes établis à l'article 5. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement. Elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Lorsque le responsable du traitement a procédé à une analyse d'impact relative à la protection des données, en vertu de l'article 33, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures.
1 bis. Afin d'encourager sa mise en œuvre étendue dans différents secteurs économiques, la protection des données dès la conception est une condition préalable aux offres de marchés publics conformément à la directive 2004/18/CE du Parlement et du Conseil(19) ainsi qu’à la directive 2004/17/CE du Parlement européen et du Conseil(20) ("directive secteurs spéciaux").
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir s'assure que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou, conservées ou communiquées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l’ensemble des secteurs, produits et services.
4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 118]
Article 24
Responsables conjoints du traitement
Lorsque plusieurs responsables du traitement définissent conjointement les finalités et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d’accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées et les grandes lignes de l’accord sont mises à disposition de la personne concernée. Lorsque la responsabilité n'est pas clairement établie, les responsables du traitement sont conjointement et solidairement responsables. [Am. 119]
Article 25
Représentants des responsables du traitement qui ne sont pas établis dans l’Union
1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union.
2. Cette obligation ne s’applique pas:
a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41; ou
b) à une entreprise employant moins de 250 salariés; ouà un responsable du traitement qui traite des données à caractère personnel qui concernent moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et qui ne traite pas de catégories particulières de données à caractère personnel telles que visées à l'article 9, paragraphe 1, de données de localisation ou de données relatives à des enfants ou à des travailleurs dans des fichiers informatisés de grande ampleur; ou
c) à une autorité ou à un organisme publics; ou
d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union, à moins que le traitement de données à caractère personnel concerne des catégories particulières de données à caractère personnel telles que visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou à des travailleurs dans des fichiers informatisés de grande ampleur.
3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de a lieu l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé aux personnes concernées ou le suivi de ces personnes.
4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui‑même. [Am. 120]
Article 26
Sous‑traitant
1. Lorsque le traitement doit être effectué pour son compte, le responsable du traitement choisit un sous‑traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et organisationnelles régissant le traitement à effectuer, et veille au respect de ces mesures.
2. La réalisation de traitements en sous‑traitance est régie par un contrat ou un autre acte juridique qui lie le sous‑traitant au responsable du traitement et qui prévoit notamment. Le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et tâches respectifs quant au respect des exigences du présent règlement ,et prévoient que le sous‑traitant:
a) n'agitne traite des données à caractère personnel que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interditsauf disposition contraire du droit de l'Union ou du droit d’un État membre;
b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;
c) prend toutes les mesures nécessaires en vertu de l’article 30;
d) n'engage unne définit les conditions d'engagement d'un autre sous‑traitant que moyennant l'autorisation préalable du responsable du traitement, sauf disposition contraire;
e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessairesappropriées et pertinentes pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34, en tenant compte de la nature du traitement et des informations à la disposition du sous-traitant;
g) transmetremet tous les résultats au responsable du traitement après la fin du traitement, et s'abstient de traiter les données à caractère personnel de toute autre manière, et supprime les copies existantes, à moins que le droit de l'Union ou des États membres n'exige le stockage des données;
h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du pour démontrer le respect des obligations prévues par le présent article et permet des inspections sur place.
3. Le responsable du traitement et le sous‑traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous‑traitant énoncées au paragraphe 2.
3 bis. Les garanties suffisantes visées au paragraphe 1 peuvent être fournies par l'adhésion à des codes de conduite ou des mécanismes de certification en vertu de l’article 38 ou 39 du présent règlement.
4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, ou s'il devient la partie déterminante en ce qui concerne les finalités et moyens du traitement des données, le sous‑traitant est considéré comme responsable du traitement à l’égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous‑traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d’un groupe d’entreprises, en particulier aux fins de contrôle et de présentation de rapports. [Am. 121]
Article 27
Traitement effectué sous l'autorité du responsable du traitement et du sous‑traitant
Le sous‑traitant ainsi que toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous‑traitant, qui a accès à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, à moins d’y être obligé par la législation de l'Union ou d’un État membre.
Article 28
Documentation
1. Chaque responsable du traitement et chaque sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conserventconserve une trace documentaire de tous les traitements effectués sous leur responsabilitérégulièrement mise à jour nécessaire au respect des exigences établies dans le présent règlement.
2. La documentation constituée comporte au moins lesEn outre, chaque responsable du traitement et sous‑traitant conserve une trace documentaire des informations suivantes:
a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous‑traitant, et du représentant, le cas échéant;
b) le nom et les coordonnées du délégué à la protection des données, le cas échéant;
c) les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f);
d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris lesle nom et les coordonnées des responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent, le cas échéant;
f) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées;
g) une indication générale des délais impartis pour l'effacement des différentes catégories de données;
h) la description des mécanismes prévus à l'article 22, paragraphe 3.
3. Le responsable du traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle‑ci.
4. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas aux responsables du traitement et aux sous‑traitants relevant des catégories suivantes:
a) personnes physiques traitant des données à caractère personnel en l'absence de tout intérêt commercial; ou
b) entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous‑traitant et, le cas échéant, du représentant du responsable du traitement.
6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 122]
Article 29
Coopération avec l'autorité de contrôle
1. Le responsable du traitement et, le cas échant, le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l’autorité de contrôle dans l'exécution de ses fonctions, notamment en communiquant les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe.
2. Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 53, paragraphe 2, le responsable du traitement et le sous‑traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle‑ci. La réponse comprend une description des mesures prises et des résultats obtenus, compte tenu des observations formulées par l'autorité de contrôle. [Am. 123]
SECTION 2
SÉCURITÉ DES DONNÉES
Article 30
Sécurité des traitements
1. Le responsable du traitement et le sous‑traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger, en tenant compte des résultats de l'analyse d'impact relative à la protection des données en vertu de l'article 33, ainsi que des techniques les plus récentes et des coûts liés à leur mise en œuvre.
1 bis. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, cette politique de sécurité inclut:
a) la capacité de garantir que l'intégrité des données à caractère personnel est validée;
b) la capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel;
c) la capacité de rétablir la disponibilité des données et l'accès à celles-ci, dans les plus brefs délais, en cas d'incident physique ou technique qui compromet la disponibilité, l'intégrité et la confidentialité des systèmes et des services d'information;
d) s'agissant du traitement de données à caractère personnel sensibles conformément aux articles 8 et 9, des mesures de sécurité supplémentaires afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, face aux faiblesses et incidents décelés qui pourraient présenter un risque pour les données;
e) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des politiques, des procédures et des plans de sécurité mis en place pour assurer une efficacité constante.
2. À la suite d'une évaluation des risques, le responsable du traitement et le sous‑traitant prennentLes mesures prévues visées au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorisés, ou l'altération de données à caractère personnel.poursuivent au moins les objectifs suivants:
a) garantir que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées;
b) protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites; et
c) assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables auxLe comité européen de la protection des données est chargéde formuler des lignes directrices, des recommandations et des bonnes pratiques conformément à l'article 66, paragraphe 1, point b),concernant les mesures techniques et organisationnelles visées aux paragraphes 1 et 2, y compris la détermination de ce qui constitue les techniques les plus récentes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception et de protection des données par défaut, sauf si le paragraphe 4 s'applique.
4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue:
a) d’empêcher tout accès non autorisé à des données à caractère personnel;
b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel;
c) d'assurer la vérification de la licéité des traitements.
Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 124]
Article 31
Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard.
2. En vertu de l’article 26, paragraphe 2, point f), leLe sous‑traitant alerte et informe le responsable du traitement immédiatement après avoir constaté d’une violation de données à caractère personnel sans retard injustifié après avoir constaté cette violation.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;
b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;
d) décrire les conséquences de la violation de données à caractère personnel;
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets.
Les informations peuvent, si nécessaire, être transmises en plusieurs phases.
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect du présent article et de l'article 30. Elle comporte uniquement les informations nécessaires à cette fin.
4 bis. L'autorité de contrôle tient un registre public des types de violations notifiées.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables àLe comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques conformément à l'article 66, paragraphe 1, point b), aux fins de l’établissement de la violation de données viséeet de la détermination du retard injustifié visés aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 125]
Article 32
Communication à la personne concernée d'une violation de données à caractère personnel
1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard injustifié à la personne concernée.
2. La communication à la personne concernée prévue au paragraphe 1 est détaillée et utilise un langage clair et simple. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et, c) et d), ainsi que des informations sur les droits de la personne concernée, y compris concernant les possibilités de recours.
3. La communication à la personne concernée d'une violation des données à caractère personnel la concernant n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre des mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.
4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation des données à caractère personnel la concernant, si le responsable du traitement n'a pas déjà informé la personne concernée de la violation des données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigencesLe comité européen de la protection des données est chargéde formuler des lignes directrices, des recommandations et des bonnes pratiques conformément à l'article 66, paragraphe 1, point b), concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée.
6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 126]
Article 32 bis
Analyse des risques
1. Le responsable du traitement ou, le cas échéant, le sous-traitant, réalise une analyse des risques en ce qui concerne les répercussions potentielles du traitement de données prévu sur les droits et les libertés des personnes concernées, en évaluant si les traitements sont susceptibles de présenter des risques spécifiques.
2. Les traitements susceptibles de présenter des risques spécifiques sont les suivants:
a) le traitement de données à caractère personnel de plus de 5 000 personnes concernées sur toute période de douze mois consécutifs;
b) le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, de données de localisation, ou de données relatives à des enfants ou à des travailleurs dans des fichiers informatisés de grande ampleur;
c) le profilage sur la base duquel sont prises des mesures qui produisent des effets juridiques concernant une personne ou qui, de façon similaire, affectent de manière significative ladite personne;
d) le traitement de données à caractère personnel destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;
e) la surveillance automatisée à grande échelle de zones accessibles au public;
f) les autres traitements pour lesquels la consultation du délégué à la protection des données ou de l'autorité de contrôle est requise en vertu de l'article 34, paragraphe 2, point b);
g) lorsqu'une violation des données à caractère personnel risque de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou intérêts légitimes de la personne concernée;
h) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées;
i) la mise à disposition de données à caractère personnel à un nombre de personnes dont on ne peut raisonnablement attendre qu'il soit limité.
3. En fonction des résultats de l'analyse des risques:
a) lorsqu'il est procédé à l'un quelconque des traitements visés au point a) ou b) du paragraphe 2, les responsables du traitement non établis dans l'Union désignent un représentant dans l'Union conformément aux exigences et aux exemptions prévues à l'article 25;
b) lorsqu'il est procédé à l'un quelconque des traitements visés au point a), b) ou h) du paragraphe 2, le responsable du traitement désigne un délégué à la protection des données conformément aux exigences et aux exemptions prévues à l'article 35;
c) lorsqu'il est procédé à l'un quelconque des traitements visés au point a), b), c), d), e), f), g) ou h) du paragraphe 2, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement procède à une analyse d'impact relative à la protection des données, en vertu de l'article 33;
d) lorsqu'il est procédé aux traitements visés au point f) du paragraphe 2, le responsable du traitement consulte le délégué à la protection des données ou, dans l'éventualité où un délégué à la protection des données n'aurait pas été désigné, l'autorité de contrôle, en vertu de l'article 34.
4. L'analyse des risques est révisée au plus tard après un an, ou immédiatement si la nature, la portée ou les finalités des traitements de données sont sensiblement modifiées. Lorsqu'en application du paragraphe 3, point c), le responsable du traitement n'est pas tenu de procéder à une analyse d'impact relative à la protection des données, l'analyse des risques est documentée. [Am. 127]
SECTION 3
ANALYSE D'IMPACT RELATIVE ÀGESTION DE LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE SUR TOUT LEUR CYCLE DE VIE [Am. 128]
Article 33
Analyse d’impact relative à la protection des données
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités,les dispositions de l'article 32 bis, paragraphe 3, point c), l'exigent, le responsable du traitement ou le sous‑traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur les droits et les libertés des personnes concernées, en particulier leur droit à la protection des données à caractère personnel. Une seule analyse suffit à examiner un ensemble de traitements similaires qui présentent des risques similaires.
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants:
a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;
b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;
c) la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto‑électroniques (vidéosurveillance) sont utilisés à grande échelle;
d) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques;
e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b).
3. L'analyse porte sur la gestion de la totalité du cycle de vie des données à caractère personnel, de la collecte à la suppression, en passant par le traitement. Elle contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées.:
a) une description systématique des traitements envisagés, les finalités du traitement et, le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement;
b) une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités;
c) une évaluation des risques pour les droits et libertés des personnes concernées, notamment du risque de discrimination inhérent au traitement ou que celui-ci pourrait accentuer;
d) une description des mesures envisagées pour faire face aux risques et réduire au maximum le volume de données à caractère personnel traité;
e) une liste des garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel, comme la pseudonymisation, et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées et des autres personnes touchées;
f) une indication générale des délais impartis pour l'effacement des différentes catégories de données;
g) une explication des pratiques de protection des données dès la conception et par défaut visées à l'article 23 qui ont été mises en œuvre;
h) une liste des destinataires ou des catégories de destinataires des données à caractère personnel;
i) le cas échéant, une liste des transferts de données prévus vers un pays tiers ou une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale;
j) une évaluation du contexte du traitement des données.
3 bis. Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact.
3 ter. L'analyse est documentée et établit un calendrier des examens périodiques réguliers de la conformité de la protection des données, au titre de l'article 33 bis, paragraphe 1. L'analyse est mise à jour sans retard injustifié si les résultats de l'examen de la conformité de la protection des données visé à l'article 33 bis font apparaître des lacunes. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'analyse à la disposition de l'autorité de contrôle, à la demande de celle-ci.
4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements.
5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.
6. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.
7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 129]
Article 33 bis
Examen de la conformité de la protection des données
1. Deux ans au plus tard après avoir effectué une analyse d'impact en vertu de l'article 33, paragraphe 1, le responsable du traitement ou le sous-traitant agissant pour le compte de ce dernier procède à un examen de la conformité. Celui-ci démontre que le traitement des données à caractère personnel est effectué conformément à l'analyse d'impact relative à la protection des données.
2. L'examen de la conformité est réalisé périodiquement, au moins tous les deux ans, ou immédiatement si un changement intervient dans les risques spécifiques présentés par les traitements.
3. Lorsque les résultats de l'examen de la conformité font apparaître des lacunes, l'examen de la conformité comporte des recommandations pour y remédier.
4. L'examen de la conformité et ses recommandations sont documentés. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'examen de la conformité à la disposition de l'autorité de contrôle, à la demande de celle-ci.
5. Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'examen de la conformité. [Am. 130]
Article 34
Autorisation et Consultation préalablespréalable
1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous‑traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.
2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent le délégué à la protection des données ou, dans l'éventualité où il n'aurait pas été désigné de délégué à la protection des données, l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:
a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou
b) lorsque le délégué à la protection des données ou l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.
3. Lorsque l'autorité de contrôle est d'aviscompétente détermine, conformément à ses attributions, que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non‑conformité.
4. L'autorité de contrôleLe comité européen de la protection des données établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données.
5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste.
6. Le responsable du traitement ou le sous‑traitant fournissent, sur demande, à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévueen vertu de l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.
7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a).
9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 131]
SECTION 4
DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Article 35
Désignation du délégué à la protection des données
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque:
a) le traitement est effectué par une autorité ou un organisme publics; ou
b) le traitement est effectué par une entreprise employant 250 personne morale et porte sur plus de 5 000 personnes ou plusconcernées sur toute période de douze mois consécutifs; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées; ou
d) les activités de base du responsable du traitement ou du sous-traitant consistent à traiter les catégories particulières de données visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des travailleurs dans des fichiers informatisés de grande ampleur.
2. Dans le cas visé au paragraphe 1, point b), unUn groupe d'entreprises peut désigner un délégué principal à la protection des données unique, après s'être assuré qu'il est facile d'avoir accès à un délégué à la protection des données sur chaque lieu d'établissement.
3. Lorsque le responsable du traitement ou le sous‑traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.
4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous‑traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous‑traitants peuvent désigner un délégué à la protection des données.
5. Le responsable du traitement ou le sous‑traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous‑traitant.
6. Le responsable du traitement ou le sous‑traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts.
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux quatre ans lorsqu'il s'agit d'un employé ou de deux ans lorsqu'il s'agit d'un prestataire externe. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.
8. Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous‑traitant, ou accomplir ses tâches sur la base d'un contrat de service.
9. Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public.
10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement.
11. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5. [Am. 132]
Article 36
Fonction du délégué à la protection des données
1. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel.
2. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction exécutive du responsable du traitement ou du sous-traitant. Le responsable du traitement ou le sous-traitant désignent à cette fin un membre de la direction exécutive chargé de veiller au respect des dispositions du présent règlement.
3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent tous les moyens, notamment le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l’article 37 et au maintien de ses connaissances professionnelles.
4. Les délégués à la protection des données sont tenus au secret professionnel pour ce qui est de l'identité des personnes concernées et des circonstances permettant à celles-ci d'être identifiées, à moins que la personne concernée ne les décharge de cette obligation. [Am. 133]
Article 37
Missions du délégué à la protection des données
1. Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes:
a) sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement, notamment en ce qui concerne les mesures et procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues;
b) contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous‑traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;
c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi qu’à l'information des personnes concernées et à l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement;
d) veiller à ce que la documentation visée à l’article 28 soit tenue à jour;
e) contrôler la documentation, la notification et la communicationrelatives aux violations de données à caractère personnel prévues aux articles 31 et 32;
f) vérifier que le responsable du traitement ou le sous‑traitant a réalisé l’analyse d’impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises en vertu des articles 32 bis, 33 et 34;
g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;
h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative;
i) veiller au respect du présent règlement dans le cadre du mécanisme de consultation préalable établi à l'article 34;
j) informer les représentants des travailleurs au sujet du traitement des données des travailleurs.
2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1. [Am. 134]
SECTION 5
CODES DE CONDUITE ET CERTIFICATION
Article 38
Codes de conduite
1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite ou l'adoption de codes de conduite élaborés par une autorité de contrôle destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment:
a) le traitement loyal et transparent des données;
a bis) le respect des droits du consommateur;
b) la collecte des données;
c) l'information du public et des personnes concernées;
d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits;
e) l'information et la protection des enfants;
f) le transfert de données vers des pays tiers ou à des organisations internationales;
g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent;
h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75.
2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous‑traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L’autorité de contrôle peut rendrerend, sans retard injustifié, un avis sur la conformité, avec le présent règlement, du traitement effectué conformément au projet de code de conduite ou à la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets.
3. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants.
4. La Commission peutest habilitée à adopter, après avoir demandé l’avis du comité européen de la protection des données, des actes d'exécutiondélégués en conformité avec l'article 86 afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont conformes au présent règlement et d’applicabilité générale sur le territoire de l'Union. LesCes actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2 délégués confèrent aux personnes concernées des droits opposables.
5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4. [Am. 135]
Article 39
Certification
1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous‑traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements.
1 bis. Tout responsable du traitement ou sous-traitant peut demander à n'importe quelle autorité de contrôle dans l'Union de certifier, moyennant le paiement de frais raisonnables tenant compte des coûts administratifs, que le traitement des données à caractère personnel est exécuté dans le respect du présent règlement, notamment des principes énoncés aux articles 5, 23 et 30, et dans le respect des obligations du responsable du traitement et du sous-traitant, et des droits des personnes concernées.
1 ter. La certification est volontaire, abordable et disponible au travers d'un processus transparent et ne présentant pas de complications injustifiées.
1 quater. Les autorités de contrôle et le comité européen de la protection des données coopèrent dans le cadre du mécanisme de contrôle de la cohérence conformément à l'article 57 en vue de garantir un mécanisme de certification harmonisé en matière de protection des données, y compris des redevances harmonisées, au sein de l'Union.
1 quinquies. Pendant la procédure de certification, les autorités de contrôle peuvent agréer des auditeurs tiers spécialisés pour effectuer en leur nom l'audit du responsable du traitement ou du sous-traitant. Les auditeurs tiers disposent de personnel suffisamment qualifié, sont impartiaux et libres de tout conflit d'intérêts par rapport à leurs fonctions. Les autorités de contrôle révoquent l'agrément lorsqu'il existe des raisons de croire que l'auditeur ne remplit pas correctement ses fonctions. La certification finale est octroyée par l'autorité de contrôle.
1 sexies. Les autorités de contrôle octroient aux responsables du traitement et aux sous-traitants qui, en application de la procédure d'audit, ont obtenu la certification attestant que le traitement des données à caractère personnel auquel ils procèdent est conforme au présent règlement, la marque standardisée de protection des données dénommée "label européen de protection des données".
1 septies. Le "label européen de protection des données" est valide tant que les opérations de traitement des données exécutées par le responsable du traitement ou le sous-traitant certifié continuent d'être entièrement conformes au présent règlement.
1 octies. Nonobstant le paragraphe 1 septies, la certification est valide pendant un maximum de cinq ans.
1 nonies. Le comité européen de la protection des données établit un registre électronique public permettant au public de consulter tous les certificats, valides et invalides, délivrés dans les États membres.
1 decies. Le comité européen de la protection des données peut, de sa propre initiative, certifier qu'une norme technique renforçant la protection des données est conforme au présent règlement.
2. La Commission est habilitée, après avoir demandé l’avis du comité européen de la protection des donnéeset avoir consulté les parties prenantes, en particulier l'industrie et des organisations non gouvernementales, à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1aux paragraphes 1 bis à 1 nonies, y compris les exigences en matière d'agrément des auditeurs, les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers. Ces actes délégués confèrent aux personnes concernées des droits opposables.
3. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.[Am. 136]
CHAPITRE V
TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES
Article 40
Principe général des transferts
Un transfert de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous‑traitant, y compris pour les transferts ultérieurs de données à caractère personnel du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale.
Article 41
Transferts assortis d’une décision relative au caractère adéquat du niveau de protection
1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation spécifique.
2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, ainsi que la mise en œuvre de la présente législation, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, les précédents jurisprudentiels, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif pour les personnes concernées, notamment pour celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;
b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, y compris à l'aide de pouvoirs de sanction suffisants, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres ; et
c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant en matière de protection des données à caractère personnel.
3. La Commission peutest habilitée à adopter des actes délégués en conformité avec l’article 86 pour constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.Ces actes délégués prévoient une clause de suppression automatique lorsqu'ils concernent un secteur de traitement de données et sont révoqués conformément au paragraphe 5 dès lors qu'un niveau adéquat de protection des données conforme au présent règlement n'est plus garanti.
4. L'acte d'exécutiondélégué précise son champ d'application géographiqueterritorial et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).
4 bis. La Commission suit, de manière permanente, les événements dans les pays tiers et dans les organisations internationales susceptibles de porter atteinte aux éléments énumérés au paragraphe 2 pour lesquels un acte délégué a été adopté en vertu du paragraphe 3.
5. La Commission peutest habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins de constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas ou plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif pour les personnes concernées, notamment pour celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 87, paragraphe 3.
6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.
6 bis. Avant d'adopter un acte délégué en vertu des paragraphes 3 et 5, la Commission demande au comité européen de la protection des données de remettre un avis sur le caractère adéquat du niveau de protection. À cette fin, la Commission fournit au comité européen de la protection des données toute la documentation nécessaire, y compris la correspondance avec le gouvernement du pays tiers, le territoire ou le secteur du traitement dans ce pays tiers, ou l’organisation internationale concerné.
7. La Commission publie au Journal officiel de l'Union européenneet sur son site internet une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.
8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogationpendantcinq ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par la Commission avant la fin de cette période. [Am. 137]
Article 42
Transferts moyennant des garanties appropriées
1. Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, ou lorsqu'elle décide qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données conformément à l’article 41, paragraphe 5, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possibleest impossible, à moins que si le responsable du traitement ou le sous‑traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.
2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:
a) des règles d'entreprise contraignantes conformément à l'article 43; ou
a bis) un "label européen de protection des données" valide octroyé au responsable du traitement et au destinataire, conformément à l'article 39, paragraphe 1 sexies; ou
b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2; ou
c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale en vertu de l'article 62, paragraphe 1, point b); ou
d) des clauses contractuelles liant le responsable du traitement ou le sous‑traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.
3. Un transfert effectué en vertu de clauses types de protection des données, d'un "label européen de protection des données" ou de règles d'entreprise contraignantes visés au paragraphe 2, point a), b) a bis) ou c), ne nécessite pas d'autre autorisation spécifique.
4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles visées au paragraphe 2, point d), du présent article, le responsable du traitement ou le sous‑traitant doit avoir obtenu l'autorisation préalable de l’autorité de contrôle quant aux clauses contractuelles conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.
5. Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous‑traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogationpendantdeux ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soientmodifiées, remplacées ou abrogées par ladite autorité de contrôle avant la fin de cette période. [Am. 138]
Article 43
Transferts encadrés par des règles d'entreprise contraignantes
1. Une autoritéL'autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous‑traitantet aux sous‑traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes, y compris à leurs travailleurs, et que lesdites entités en assurent le respect;
b) qu'elles confèrent expressément aux personnes concernées des droits opposables;
c) qu'elles respectent les exigences prévues au paragraphe 2.
1 bis. Concernant les données de l'emploi, les représentants des travailleurs sont informés de l'élaboration de règles d'entreprise contraignantes et, conformément au droit et aux pratiques de l'Union et des États membres, y sont associés.
2. Les règles d'entreprise contraignantes précisent au moins:
a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent, et les sous‑traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes;
b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;
c) leur nature juridiquement contraignante, tant interne qu'externe;
d) les principes généraux de protection des données, notamment la limitation de la finalité, la limitation des données au minimum, la minimisation de la durée de conservation des données, la qualité des données, la protection des données dès la conception et par défaut, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles internes;
e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;
f) l'acceptation, par le responsable du traitement ou le sous‑traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;
g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe, sont fournies aux personnes concernées, conformément à l'article 11;
h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;
i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;
j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;
k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i) du présent paragraphe.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage le format, les procédures, les critères et les exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, y compris la transparence pour les personnes concernées, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous‑traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question.
4. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous‑traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2. [Am. 139]
Article 43 bis
Transferts ou divulgations non autorisés par le droit de l'Union
1. Aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il divulgue des données à caractère personnel n'est reconnue ni rendue exécutoire de quelque manière que ce soit, sans préjudice d'un traité d'assistance juridique mutuelle ou d'un accord international en vigueur entre le pays tiers demandeur et l'Union ou un État membre.
2. Lorsque la décision d'une juridiction ou d'une autorité administrative d'un pays tiers demande à un responsable du traitement ou à un sous-traitant de divulguer des données à caractère personnel, le responsable du traitement ou le sous-traitant et, le cas échéant, le représentant du responsable du traitement, en informent, sans délai injustifié, l'autorité de contrôle et doivent obtenir auprès de cette dernière une autorisation préalable pour le transfert ou la divulgation des données.
3. L'autorité de contrôle évalue la conformité de la divulgation demandée avec le présent règlement et, notamment, si la divulgation est nécessaire et exigée d'un point de vue légal conformément à l'article 44, paragraphe 1, points d) et e), et à l'article 44, paragraphe 5. Lorsque des personnes concernées dans d'autres États membres sont affectées, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57.
4. L'autorité de contrôle porte la demande à la connaissance de l'autorité nationale compétente. Sans préjudice de l'article 21, le responsable du traitement ou le sous-traitant informent également les personnes concernées de cette demande et de l'autorisation accordée par l'autorité de contrôle, et, le cas échéant, informent la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs, en vertu de l'article 14, paragraphe 1, point h bis). [Am. 140]
Article 44
Dérogations
1. En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41 ou de garanties appropriées conformément à l’article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que:
a) la personne concernée ait consenti au transfert envisagé, après avoir été informée des risques du transfert en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; ou
b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou
c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale; ou
d) le transfert soit nécessaire pour des motifs importants d'intérêt général; ou
e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou
f) le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; ou
g) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions du droit de l'Union ou des États membres, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions prévues dans le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier; ou
h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous‑traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif et que le responsable du traitement ou le sous‑traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu.
2. Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires.
3. Lorsque le traitement s'effectue en vertu du paragraphe 1, point h), le responsable du traitement ou le sous‑traitant prend particulièrement en considération la nature des données, la finalité et la durée du ou des traitements envisagés, ainsi que la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et offre des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu.
4. Les points b), et c) et h) du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique.
5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement.
6. Le responsable du traitement ou le sous‑traitant atteste la matérialité, dans la documentation visée à l'article 28, de l'évaluation et des garanties appropriées offertes visées au paragraphe 1, point h), et informe l'autorité de contrôle du transfert.
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86,Le comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément à l'article 66, paragraphe 1, point b), aux fins de préciser davantage les «motifs importants d'intérêt général» au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues autransferts de données sur la base du paragraphe 1, point h). [Am. 141]
Article 45
Coopération internationale dans le domaine de la protection des données à caractère personnel
1. La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:
a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter garantir l’application de la législation relative à la protection des données à caractère personnel; [Am. 142]
b) se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, notamment par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’information, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d'autres libertés et droits fondamentaux;
c) associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans l’application de la législation relative à la protection des données à caractère personnel;
d) favoriser l'échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel.
d bis) clarifier les conflits juridictionnels avec les pays tiers et consulter ces derniers à ce sujet. [Am. 143]
2. Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 41, paragraphe 3.
Article 45 bis
Rapport de la Commission
La Commission soumet au Parlement européen et au Conseil, à intervalles réguliers, et pour la première fois quatre ans au plus tard après la date visée à l'article 91, paragraphe 1, un rapport sur l'application des articles 40 à 45. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, lesquelles sont fournies sans délai injustifié. Ce rapport est rendu public. [Am. 144]
CHAPITRE VI
AUTORITÉS DE CONTRÔLE INDÉPENDANTES
SECTION 1
STATUT D'INDÉPENDANCE
Article 46
Autorité de contrôle
1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application du présent règlement et de contribuer à son application cohérente dans l’ensemble de l'Union, afin de protéger les libertés et droits fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission.
2. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui sert de point de contact unique permettant une participation efficace de ces autorités au comité européen de la protection des données, et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 57.
3. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du présent chapitre, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Article 47
Indépendance
1. L'autorité de contrôle exerce en toute indépendance et impartialité les missions et les pouvoirs qui lui sont confiés, nonobstant les dispositions relatives à la coopération et à la cohérence au titre du chapitre VII du présent règlement. [Am. 145]
2. Dans l'accomplissement de leur mission, les membres de l'autorité de contrôle ne sollicitent ni n'acceptent d'instructions de quiconque.
3. Les membres de l’autorité de contrôle s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.
4. Après la cessation de leurs fonctions, les membres de l'autorité de contrôle sont tenus de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.
5. Chaque État membre veille à ce que l’autorité de contrôle dispose des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données.
6. Chaque État membre veille à ce que l'autorité de contrôle dispose de son propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.
7. Les États membres veillent à ce que l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que l’autorité de contrôle dispose de budgets annuels propres. Les budgets sont rendus publics.
7 bis. Chaque État membre veille à ce que l'autorité de contrôle soit responsable devant le parlement national pour des raisons de contrôle budgétaire. [Am. 146]
Article 48
Conditions générales applicables aux membres de l'autorité de contrôle
1. Chaque État membre prévoit que les membres de l’autorité de contrôle doivent être nommés soit par son parlement, soit par son gouvernement.
2. Les membres sont choisis parmi les personnes offrant toutes garanties d'indépendance et qui possèdent une expérience et une compétence notoires pour l'accomplissement de leurs fonctions, notamment dans le domaine de la protection des données à caractère personnel.
3. Les fonctions des membres prennent fin à l'échéance de leur mandat, en cas de démission ou de mise à la retraite d'office conformément au paragraphe 5.
4. Un membre peut être déclaré démissionnaire ou déchu du droit à pension ou d'autres avantages en tenant lieu par la juridiction nationale compétente, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.
5. Un membre dont le mandat expire ou qui démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau membre.
Article 49
Règles relatives à l'établissement de l'autorité de contrôle
Chaque État membre prévoit par voie législative, dans les limites du présent règlement:
a) l'établissement et le statut de l’autorité de contrôle;
b) les qualifications, l'expérience et les compétences requises pour exercer les fonctions de membre de l'autorité de contrôle;
c) les règles et les procédures pour la nomination des membres de l'autorité de contrôle, ainsi que les règles relatives aux activités ou emplois incompatibles avec leurs fonctions;
d) la durée du mandat des membres de l’autorité de contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier mandat après l'entrée en vigueur du présent règlement, qui peut être d’une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de l'autorité de contrôle au moyen d'une procédure de nominations échelonnées;
e) le caractère renouvelable ou non renouvelable du mandat des membres de l'autorité de contrôle;
f) le statut et les conditions communes régissant les fonctions des membres et agents de l’autorité de contrôle;
g) les règles et les procédures relatives à la cessation des fonctions des membres de l’autorité de contrôle, y compris lorsqu’ils ne remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou s'ils ont commis une faute grave.
Article 50
Secret professionnel
Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, tout en menant leurs missions en toute indépendance et en toute transparence conformément comme indiqué au présent règlement. [Am. 147]
SECTION 2
FONCTIONS ET POUVOIRS
Article 51
Compétence
1. Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève,est habilitée à remplir les fonctions et à exercer les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève, sans préjudice des articles 73 et 74. Les traitements de données effectués par une autorité publique ne sont contrôlés que par l'autorité de contrôle de cet État membre. [Am. 148]
2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous‑traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous‑traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous‑traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement. [Am. 149]
3. L’autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle.
Article 52
Fonctions
1. L'autorité de contrôle:
a) contrôle et assure l’application du présent règlement;
b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire; [Am. 150]
c) partage des informations avec d'autres autorités de contrôle, leur fournit une assistance mutuelle et veille à la cohérence de l’application du présent règlement et des mesures prises pour en assurer le respect;
d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou de la réception d'informations spécifiques et documentées alléguant d’un traitement illicite ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; [Am. 151]
e) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications et celle des pratiques commerciales;
f) est consultée par les institutions et organes de l’État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;
g) autorise les traitements prévus à l’article 34 et est consultée au sujet des traitements visés à l’article 34;
h) émet un avis sur les projets de codes de conduite prévus à l'article 38, paragraphe 2;
i) approuve les règles d'entreprise contraignantes conformément à l'article 43;
j) participe aux activités du comité européen de la protection des données.
j bis) certifie les responsables du traitement et les sous-traitants, en vertu de l’article 39. [Am. 152]
2. Chaque autorité de contrôle encourage la sensibilisation du public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel, ainsi qu'aux mesures appropriées de protection des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière. [Am. 153]
2 bis. Chaque autorité de contrôle encourage, en collaboration avec le comité européen de la protection des données, la sensibilisation des responsables du traitement et des sous‑traitants aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Cela inclut la tenue d'un registre des sanctions et des violations. Ce registre devrait reprendre de la manière la plus détaillée possible tant l'ensemble des avertissements et sanctions que la résolution des violations. Chaque autorité de contrôle fournit aux responsables du traitement et aux sous‑traitants des micro, petites et moyennes entreprises, sur demande, des informations générales concernant leurs responsabilités et obligations en vertu du présent règlement. [Am. 154]
3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.
4. Pour les réclamations visées au paragraphe 1, point b), l’autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.
5. L'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.
6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables ou ne pas prendre les mesures sollicitées par la personne concernée. Ces frais ne dépassent pas les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande. [Am. 155]
Article 53
Pouvoirs
1. Chaque autorité de contrôle a, conformément au présent règlement, le pouvoir:
a) d'informer le responsable du traitement ou le sous‑traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous‑traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée,ou d’ordonner au responsable du traitement de communiquer la violation de données à caractère personnel à la personne concernée;
b) d'ordonner au responsable du traitement ou au sous‑traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée;
c) d'ordonner au responsable du traitement et au sous‑traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions;
d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34;
e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous‑traitant;
f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées;
g) d'interdire temporairement ou définitivement un traitement;
h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;
i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel;
i bis) de certifier les responsables du traitement et les sous-traitants, en vertu de l’article 39;
j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel ;
j bis) de mettre en place des mécanismes efficaces favorisant la notification confidentielle des cas d'infraction au présent règlement, en tenant compte des orientations formulées par le comité européen de la protection des données en vertu de l'article 66, paragraphe 4 ter.
2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous‑traitant sans notification préalable:
a) l'accès à toutes les données à caractère personnel et à tous les documents et toutes les informations nécessaires à l'exercice de ses fonctions;
b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement, s'il existe un motif raisonnable de supposer qu’il s'y exerce une activité contraire au présent règlement.
Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres.
3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment en vertu de l'article 74, paragraphe 4, et de l'article 75, paragraphe 2.
4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncéesconformément à l’article 79, paragraphes 4, 5 et 6. Ce pouvoir est exercé de manière effective, proportionnée et dissuasive. [Am. 156]
Article 54
Rapport d'activité
Chaque autorité de contrôle doit établir, au moins une fois tous les deux ans, un rapport annuel sur ses activités. Le rapport est présenté au parlement national concernéet est mis à la disposition du public, de la Commission et du comité européen de la protection des données. [Am. 157]
Article 54 bis
Autorité chef de file
1. Lorsque le traitement de données à caractère personnel a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, ou lorsque des données à caractère personnel de résidents de différents États membres font l’objet de traitements, l’autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est l'autorité chef de file responsable du contrôle des activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, conformément aux dispositions du chapitre VII du présent règlement.
2. L'autorité chef de file ne prend les mesures qui s'imposent aux fins du contrôle des activités de traitement du responsable du traitement ou du sous-traitant dont elle est responsable qu'après consultation de toutes les autres autorités de contrôle compétentes au sens de l'article 51, paragraphe 1, en vue de parvenir à un consensus. À cette fin, l'autorité chef de file transmet toutes les informations pertinentes et consulte les autres autorités avant d'adopter toute mesure destinée à produire des effets juridiques vis à vis d'un responsable du traitement ou d'un sous-traitant au sens de l'article 51, paragraphe 1. L'autorité chef de file tient le plus grand compte des avis des autorités concernées. L'autorité chef de file est la seule autorité habilitée à prendre des décisions concernant les mesures destinées à produire des effets juridiques vis à vis des activités de traitement du responsable du traitement ou du sous-traitant dont elle est responsable.
3. Le comité européen de la protection des données émet, à la demande d'une autorité de contrôle compétente, un avis sur l'identification de l'autorité chef de file responsable d'un responsable du traitement ou d'un sous-traitant dans les cas suivants:
a) les éléments du dossier ne permettent pas de déterminer clairement le lieu où se situe l'établissement principal du responsable du traitement ou du sous-traitant; ou
b) les autorités compétentes ne s'accordent pas sur le choix d'une autorité de contrôle comme autorité chef de file; ou
c) le responsable du traitement n'est pas établi dans l'Union et des résidents de différents États membres sont concernés par les opérations de traitement dans le cadre du champ d'application du présent règlement.
3 bis. Lorsque le responsable du traitement exerce également des activités en tant que sous-traitant, l'autorité de contrôle du lieu où se situe l'établissement principal du responsable du traitement joue le rôle d'autorité chef de file pour le contrôle des activités de traitement.
4. Le comité européen de la protection des données peut décider de l'identification de l'autorité chef de file. [Am. 158]
CHAPITRE VII
COOPÉRATION ET COHÉRENCE
SECTION 1
COOPÉRATION
Article 55
Assistance mutuelle
1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et les enquêtes, et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque le responsable du traitement ou le sous-traitant possède des établissements dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements. L’autorité chef de file définie à l’article 54 bis assure la coordination avec les autorités compétentes impliquées et fait office de point de contact unique pour le responsable du traitement ou le sous‑traitant. [Am. 159]
2. Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d’une autre autorité de contrôle, sans délai et au plus tard un mois après la réception de la demande. Il peut s'agir, notamment, de la transmission d'informations utiles sur le déroulement d'une enquête ou de mesures répressives visant à faire cesser ou à interdire les traitements contraires au présent règlement.
3. La demande d'assistance contient toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.
4. Une autorité de contrôle saisie d'une demande d'assistance ne peut refuser de lui donner suite, à moins:
a) qu'elle ne soit pas compétente pour la traiter; ou
b) qu’il soit incompatible avec les dispositions du présent règlement de donner suite à la demande.
5. L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande de l’autorité de contrôle requérante.
6. Les autorités de contrôle communiquent, par voie électronique et dans les plus brefs délais, au moyen d'un formulaire type, les informations demandées par d'autres autorités de contrôle.
7. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais à charge de l’autorité de contrôle requérante. [Am. 160]
8. Lorsqu'une autorité de contrôle ne donne pas suite, dans un délai d’un mois, à la demande d'une autre autorité de contrôle, l'autorité de contrôle requérante a compétence pour adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l'article 51, paragraphe 1, et saisit le comité européen de la protection des données de l'affaire conformément à la procédure prévue à l'article 57. Elle peut adopter des mesures provisoires au titre de l'article 53 sur le territoire de l'État membre dont elle relève lorsqu'il n'est pas encore possible d'adopter une mesure définitive parce que la demande d'assistance n'a pas encore été acceptée. [Am. 161]
9. L'autorité de contrôle précise la durée de validité de la mesure provisoire ainsi adoptée. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission, conformément à la procédure viséeà l'article 57. [Am. 162]
10. La CommissionLe comité européen de la protection des données peut préciser la forme et les procédures de l'assistance mutuelle visée au présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre les autorités de contrôle et le comité européen de la protection des données, notamment le formulaire type mentionné au paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 163]
Article 56
Opérations conjointes des autorités de contrôle
1. Afin d'intensifier la coopération et l'assistance mutuelle, les autorités de contrôle mettent en œuvre des missions d'enquête conjointes, des mesures répressives conjointes et d'autres opérations conjointes auxquelles participent des membres ou des agents des autorités de contrôle d'autres États membres, désignés par celles-ci.
2. Dans les cas où le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements, une autorité de contrôle de chacun des États membres en cause a le droit de participer aux missions d'enquête conjointes ou aux opérations conjointes, selon le cas. L'autorité de contrôle compétente invite chef de file définie à l'article 54 bisassocie l'autorité de contrôle de chacun de ces États membres à prendre part aux missions d'enquête conjointes ou aux opérations conjointes en cause et donne suite sans délai à toute demande d’une autorité de contrôle souhaitant participer aux opérations. L’autorité chef de file fait office de point de contact unique pour le responsable du traitement ou le sous-traitant. [Am. 164]
3. En tant qu'autorité de contrôle de l'État membre d'accueil, chaque autorité de contrôle peut, conformément à son droit national et avec l'accord de l’autorité de contrôle de l'État membre d'origine, confier des compétences de puissance publique, notamment des missions d'enquête, aux membres ou aux agents de l’autorité de contrôle de l'État membre d'origine participant à des opérations conjointes ou autoriser, pour autant que le droit dont relève l'autorité de contrôle de l'État membre d'accueil le permette, les membres ou les agents de l'autorité de contrôle de l'État membre d'origine à exercer leurs compétences de puissance publique conformément au droit dont relève l'autorité de contrôle de l'État membre d'origine. Ces compétences de puissance publique ne peuvent être exercées que sous l'autorité et, en règle générale, en présence de membres ou d'agents de l'autorité de contrôle de l'État membre d'accueil. Les membres ou agents de l'autorité de contrôle de l'État membre d'origine sont soumis au droit national de l'autorité de contrôle de l'État membre d'accueil. L'autorité de contrôle de l'État membre d'accueil assume la responsabilité de leurs actions.
4. Les autorités de contrôle définissent les modalités pratiques des actions de coopération particulières.
5. Lorsqu'une autorité de contrôle ne se conforme pas, dans un délai d’un mois, à l’obligation énoncée au paragraphe 2, les autres autorités de contrôle ont compétence pour prendre une mesure provisoire sur le territoire de leur État membre, conformément à l'article 51, paragraphe 1.
6. L'autorité de contrôle précise la durée de validité de toute mesure provisoire prévue au paragraphe 5. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission, et fait examiner l'affaire dans le cadre du mécanisme prévu à l’article 57.
SECTION 2
COHÉRENCE
Article 57
Mécanisme de contrôle de la cohérence
Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans, tant sur des questions d’application générale que dans des cas particuliers, conformément aux dispositions de la présente section. [Am. 165]
Article 58
Avis du comité européen de la protection des données Cohérence sur des questions d'application générale
1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission.
2. L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui:
a) se rapporte aux traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l’observation de leur comportement; ou
b) est susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union; ou
c) vise à l'adoption d'une liste des traitements devant faire l'objet d'une consultation préalable conformément à l’article 34, paragraphe 5, ou
d) vise à la détermination de clauses types de protection des données visées à l'article 42, paragraphe 2, point c), ou
e) vise à l'autorisation de clauses contractuelles visées à l'article 42, paragraphe 2, point d), ou
f) vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43.
3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question d'application générale soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle conformément à l'article 55 ou aux opérations conjointes conformément à l'article 56.
4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question d'application générale soit examinée dans le cadre du mécanisme de contrôle de la cohérence.
5. Les autorités de contrôle et la Commission communiquent, par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure.
6. Le président du comité européen de la protection des données transmet sans délai retard injustifié aux membres du comité européen de la protection des données et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le présidentsecrétariat du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles.
6 bis. Le comité européen de la protection des données adopte un avis sur les questions qui lui sont soumises au titre du paragraphe 2.
7. Si ses membres en décident ainsi à la majorité simple, ou à la demande de toute autorité de contrôle ou de la Commission, leLe comité européen de la protection des données émetpeut décider à la majorité simple d'adopter un avis sur l'affaire dans un délai d'une semaine après la communication des informations utiles conformément au paragraphe 5. L'avis est adopté dans un délai d’un mois à la majorité simple des membres du comité européen de la protection des données. Le président du comité européen de la protection des données informe sans retard indu l’autorité de contrôle visée, selon le cas, au paragraphe 1 ou au paragraphe 3, la Commission et l'autorité de contrôle compétente en vertu de l'article 51 de l'avis et le publie.toute question qui lui est soumise au titre des paragraphes 3 et 4 en tenant compte des éléments suivants:
a) le caractère novateur de certains éléments de la question, compte étant tenu des évolutions juridiques et factuelles, en particulier dans le domaine des technologies de l'information et à la lumière des progrès de la société de l'information; et
b) l'existence d'un avis déjà émis par le comité européen de la protection des données sur la même question.
8. L’autorité de contrôle visée au paragraphe 1 et l'autorité de contrôle compétente en vertu de l'article 51 tiennent compte de l'avis du comité européen de la protection des données et communiquent par voie électronique au président du conseil européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elles maintiennent ou modifient le projet de mesure, et, le cas échéant, communiquent le projet de mesure modifié, au moyen d'un formulaire type. Le comité européen de la protection des données adopte des avis en application des paragraphes 6 bis et 7 à la majorité simple de ses membres. Ces avis sont rendus publics. [Am. 166]
Article 58 bis
Cohérence dans des cas particuliers
1. Avant d'adopter toute mesure destinée à produire des effets juridiques au sens de l'article 54 bis, l'autorité chef de file partage toutes informations utiles et soumet le projet de mesure à l'ensemble des autres autorités compétentes. Si dans un délai de trois semaines, une autorité compétente a fait savoir qu'elle avait des objections majeures à la mesure concernée, l'autorité chef de file ne l'adopte pas.
2. Lorsqu'une autorité compétente a indiqué avoir des objections majeures au projet de mesure de l'autorité chef de file, ou lorsque l'autorité chef de file omet de soumettre pour examen un projet de mesure visé au paragraphe 1 ou ne respecte pas les obligations relatives à l'assistance mutuelle conformément à l'article 55 ou aux opérations conjointes conformément à l'article 56, la question est examinée par le comité européen de la protection des données.
3. L'autorité chef de file et/ou toute autre autorité compétente concernée ainsi que la Commission communiquent au comité européen de la protection des données, par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure, les motifs rendant nécessaire l'adoption de la mesure, les objections qu'elle suscite et les avis des autres autorités de contrôle concernées.
4. Le comité européen de la protection des données examine la question, en tenant compte des incidences du projet de mesure de l'autorité chef de file sur les droits et les libertés fondamentaux des personnes concernées, et décide à la majorité simple de ses membres d'émettre ou non un avis en la matière dans un délai de deux semaines après la réception des informations utiles fournies conformément au paragraphe 3.
5. Si le comité européen de la protection des données décide d'émettre un avis, il dispose à cette fin d'un délai de six semaines et rend cet avis public.
6. L'autorité chef de file tient le plus grand compte de l'avis du comité européen de la protection des données et communique, par voie électronique, au président du comité européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elle maintient ou modifie le projet de mesure, et, le cas échéant, communique le projet de mesure modifié, au moyen d'un formulaire type. Lorsque l'autorité chef de file n'entend pas se conformer à l'avis du comité européen de la protection des données, elle fournit une justification motivée.
7. Si le comité européen de la protection des données s'oppose toujours à la mesure de l'autorité de contrôle visée au paragraphe 5, il peut adopter, dans un délai d'un mois et à une majorité des deux tiers, une mesure qui est contraignante pour l'autorité de contrôle. [Am. 167]
Article 59
Avis de la Commission
1. Dans un délai de dix semaines à compter de la date à laquelle une question a été soulevée conformément à l’article 58, ou au plus tard dans un délai de six semaines dans le cas visé à l'article 61, la Commission peut, afin d’assurer l’application correcte et cohérente du présent règlement, adopter un avis sur les questions soulevées conformément aux articles 58 ou 61.
2. Lorsque la Commission a adopté un avis en vertu du paragraphe 1, l'autorité de contrôle concernée tient le plus grand compte de l’avis de la Commission et indique à la Commission et au comité européen de la protection des données si elle entend maintenir ou modifier son projet de mesure.
3. Pendant le délai visé au paragraphe 1, l’autorité de contrôle s'abstient d'adopter le projet de mesure.
4. Lorsque l'autorité de contrôle concernée n'entend pas se conformer à l'avis de la Commission, elle en informe la Commission et le comité européen de la protection des données dans le délai visé au paragraphe 1 et motive sa décision. Dans cette éventualité, l'autorité de contrôle s'abstient d'adopter le projet de mesure pendant un délai supplémentaire d’un mois. [Am. 168]
Article 60
Suspension d’un projet de mesure
1. Dans un délai d'un mois à compter de la communication prévue à l’article 59, paragraphe 4, et lorsque la Commission nourrit des doutes sérieux quant à savoir si le projet de mesure permet de garantir la bonne application du présent règlement ou s'il est susceptible, au contraire, d'aboutir à une application non cohérente de celui-ci, la Commission, en tenant compte de l'avis formulé par le comité européen de la protection des données conformément à l'article 58, paragraphe 7, ou à l'article 61, paragraphe 2, peut adopter une décision motivée enjoignant à l'autorité de contrôle de suspendre l'adoption du projet de mesure lorsqu'une telle suspension apparaît requise pour:
a) rapprocher les positions divergentes de l'autorité de contrôle et du comité européen de la protection des données, si un tel rapprochement apparaît encore possible; ou
b) adopter une mesure en vertu de l'article 62, paragraphe 1, point a).
2. La Commission précise la durée de la suspension, qui ne peut excéder douze mois.
3. Pendant le délai visé au paragraphe 2, l'autorité de contrôle ne peut pas adopter le projet de mesure. [Am. 169]
Article 60 bis
Information du Parlement européen et du Conseil
Sur la base d’un rapport du président du comité européen de la protection des données, la Commission informe régulièrement le Parlement européen et le Conseil, au moins une fois tous les six mois, des questions traitées dans le cadre du mécanisme de contrôle de la cohérence et fait part des conclusions de la Commission et du comité européen de la protection des données en vue de garantir l’exécution et l’application cohérente du présent règlement. [Am. 170]
Article 61
Procédure d’urgence
1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58 bis, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission. [Am. 171]
2. Lorsqu'une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d'urgence, elle peut demander un avis d'urgence au comité européen de la protection des données, en motivant sa demande, et notamment l'urgence d'adopter des mesures définitives.
3. Toute autorité de contrôle peut, en motivant sa demande, et notamment l'urgence d'intervenir, demander un avis d'urgence lorsque l'autorité de contrôle compétente n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les intérêts de personnes concernées.
4. Par dérogation à l'article 58, paragraphe 7, unL’avis d'urgence visé aux paragraphes 2 et 3 du présent article est adopté dans un délai de deux semaines à la majorité simple des membres du comité européen de la protection des données. [Am. 172]
Article 62
Actes d'exécution
1. La Commission peut adopter des actes d'exécution d'application générale, après avoir demandé l’avis du comité européen de la protection des données, pour:
a) statuer sur l'application correcte du présent règlement conformément à ses objectifs et exigences quant aux questions soulevées par les autorités de contrôle conformément à l'article 58 ou à l'article 61, quant à une question au sujet de laquelle une décision motivée a été adoptée en vertu de l'article 60, paragraphe 1, ou quant à une affaire dans laquelle une autorité de contrôle omet de soumettre pour examen un projet de mesure et a indiqué qu'elle n'entendait pas se conformer à l'avis de la Commission adopté en vertu de l'article 59;
b) statuer, dans le délai fixé à l’article 59, paragraphe 1, sur l'applicabilité générale de projets de clauses types de protection des données visées à l’article 58 42, paragraphe 2, point d);
c) définir la forme et les procédures d’application du mécanisme de contrôle de la cohérence prévu par la présente section;
d) définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8.
Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
2. Pour des raisons impérieuses d’urgence dûment justifiées, tenant aux intérêts de personnes concernées dans les cas visés au paragraphe 1, point a), la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 87, paragraphe 3. Ces actes restent en vigueur pendant une période n'excédant pas douze mois.
3. L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités. [Am. 173]
Article 63
Mise à exécution
1. Aux fins de l'application du présent règlement, toute mesure exécutoire de l'autorité de contrôle d'un État membre est mise à exécution dans tous les États membres concernés.
2. Lorsqu'une autorité de contrôle omet de soumettre un projet de mesure pour examen dans le cadre du mécanisme de contrôle de la cohérence en violation de l'article 58, paragraphes 1 à 5,et 2 ou adopte une mesure malgré la notification d'objections majeures en vertu de l'article 58 bis, paragraphe 1, la mesure de l'autorité de contrôle est dénuée de validité juridique et de caractère exécutoire. [Am. 174]
SECTION 3
Comité européen de la protection des données
Article 64
Comité européen de la protection des données
1. Il est institué un comité européen de la protection des données.
2. Le comité européen de la protection des données se compose du directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données.
3. Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l'application des dispositions du présent règlement, celles-ci désignent le directeur de l'une d'entre elles comme représentant commun.
4. La Commission a le droit de participer aux activités et réunions du comité européen de la protection des données et désigne un représentant. Le président du comité européen de la protection des données informe sans délai la Commission de toutes les activités du comité européen de la protection des données.
Article 65
Indépendance
1. Le comité européen de la protection des données exerce en toute indépendance les missions qui lui sont confiées conformément aux articles 66 et 67.
2. Sans préjudice des demandes de la Commission visées à l'article 66, paragraphe 1, point b), et paragraphe 2, le comité européen de la protection des données ne sollicite ni n'accepte d'instructions de quiconque dans l'accomplissement de ses missions.
Article 66
Missions du comité européen de la protection des données
1. Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande du Parlement européen, du Conseil ou de la Commission, a notamment pour mission:
a) de conseiller la Commissionles institutions européennes sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement;
b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande du Parlement européen, du Conseil ou de la Commission, toute question portant sur l'application du présent règlement, et de formuler des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement, y compris sur l’usage des pouvoirs d’exécution;
c) de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures;
d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57;
d bis) d’émettre un avis sur la question de savoir quelle autorité devrait être l’autorité chef de file, en vertu de l’article 54 bis, paragraphe 3;
e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination d'opérations conjointes et d'autres activités conjointes, lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle;
f) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;
g) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;
g bis) de donner son avis à la Commission lors de la préparation des actes délégués et des actes d’exécution fondés sur le présent règlement;
g ter) d’émettre un avis sur les codes de conduites élaborés au niveau de l’Union en application de l'article 38, paragraphe 4;
g quater) de donner son avis sur les critères et les exigences applicables aux mécanismes de certification en matière de protection des données en vertu de l'article 39, paragraphe 2;
g quinquies) de tenir un registre électronique public des certificats valides et invalides en vertu de l'article 39, paragraphe 1 nonies;
g sexies) de prêter une assistance aux autorités nationales de contrôle, si elles en font la demande;
g septies) d'établir et de rendre publique une liste des opérations de traitement devant faire l’objet d’une consultation préalable au titre de l'article 34;
g octies) de tenir un registre des sanctions imposées aux responsables du traitement et aux sous-traitants par les autorités de contrôle compétentes.
2. Lorsque le Parlement européen, le Conseil ou la Commission consulteconsultent le comité européen de la protection des données, elle peutils peuvent fixer un délai dans lequel il doit luileur fournir les conseils demandés, selon l'urgence de la question.
3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques au Parlement européen, au Conseil, à la Commission et au comité visé à l’article 87, et les rend publics.
4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques formulés par ledit comité.
4 bis. Le comité européen de la protection des données consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 72.
4 ter. Le comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément au paragraphe 1, point b), aux fins d'établir des procédures communes pour la collecte et l’examen des informations concernant des allégations de traitement illicite ainsi que de préserver la confidentialité et les sources des informations reçues. [Am. 175]
Article 67
Rapports
1. Le comité européen de la protection des données informe le Parlement européen, le Conseil et la Commission, régulièrement et en temps utile, des résultats de ses activités. Il établit un rapport annuelau moins tous les deux ans sur l'état de la situation en matière de protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et dans les pays tiers.
Le rapport présente notamment le bilan de l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées à l'article 66, paragraphe 1, point c). [Am. 176]
2. Le rapport est rendu public et communiqué au Parlement européen, au Conseil et à la Commission.
Article 68
Procédure
1. Le comité européen de la protection des données prend ses décisions à la majorité simple de ses membres, sauf disposition contraire de son règlement intérieur. [Am. 177]
2. Le comité européen de la protection des données établit son règlement intérieur et détermine ses modalités de fonctionnement. Il adopte notamment des dispositions relatives à la poursuite de l'exercice des fonctions lorsque le mandat d’un membre expire ou en cas de démission d’un membre, à la création de sous-groupes sur des sujets ou pour des secteurs spécifiques et aux procédures qu'il applique en ce qui concerne le mécanisme de contrôle de la cohérence visé à l'article 57.
Article 69
Présidence
1. Le comité européen de la protection des données élit son président et au minimum deux vice-présidents en son sein. L'un des vice‑présidents est le contrôleur européen de la protection des données, à moins qu'il ait été élu président. [Am. 178]
2. Le président et les vice‑présidents sont élus pour un mandat de cinq ans renouvelable.
2 bis. La fonction de président est une fonction à temps plein. [Am. 179]
Article 70
Missions du président
1. Le président a pour mission:
a) de convoquer les réunions du comité européen de la protection des données et d'établir son ordre du jour;
b) de veiller à l’exécution, dans les délais, des missions du comité européen de la protection des données, notamment en ce qui concerne le mécanisme de contrôle de la cohérence prévu à l'article 57.
2. Le comité européen de la protection des données fixe dans son règlement intérieur la répartition des tâches entre le président et les vice-présidents.
Article 71
Secrétariat
1. Le comité européen de la protection des données dispose d'un secrétariat. Celui-ci est assuré par le contrôleur européen de la protection des données.
2. Le secrétariat fournit, sous la direction du président, un soutien analytique, juridique, administratif et logistique au comité européen de la protection des données. [Am. 180]
3. Le secrétariat est notamment chargé:
a) de la gestion courante du comité européen de la protection des données;
b) de la communication entre les membres du comité européen de la protection des données, son président et la Commission, et de la communication avec d'autres institutions et le public;
c) du recours à des moyens électroniques pour la communication interne et externe;
d) de la traduction des informations utiles;
e) de la préparation et du suivi des réunions du comité européen de la protection des données;
f) de la préparation, de la rédaction et de la publication d'avis et d'autres textes adoptés par le comité européen de la protection des données.
Article 72
Confidentialité
1. Les débats du comité européen de la protection des données sontpeuvent être confidentiels lorsque cela est nécessaire, sauf disposition contraire de son règlement intérieur. Les calendriers des réunions du comité européen de la protection des données sont rendus publics. [Am. 181]
2. Les documents présentés aux membres du comité européen de la protection des données, aux experts et aux représentants de tierces parties sont confidentiels, sauf si l'accès à ces documents est accordé conformément au règlement (CE) n° 1049/2001 du Parlement européen et du Conseil(21) ou si le comité européen de la protection des données les rend publics de toute autre manière.
3. Les membres du comité européen de la protection des données, ainsi que les experts et les représentants de tierces parties, sont tenus de respecter les obligations de confidentialité établies au présent article. Le président veille à ce que les experts et les représentants de tierces parties aient connaissance des exigences qu’ils sont tenus de respecter en matière de confidentialité.
CHAPITRE VIII
RECOURS, RESPONSABILITÉ ET SANCTIONS
Article 73
Droit d’introduire une réclamation auprès d'une autorité de contrôle
1. Sans préjudice de tout autre recours administratif ou judiciaire et du mécanisme de contrôle de la cohérence, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement.
2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnelagit dans l'intérêt public et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel.
3. Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation de données à caractère personneldu présent règlement. [Am. 182]
Article 74
Droit à un recours juridictionnel contre une autorité de contrôle
1. Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.
2. Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel en vue d’obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle n’informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b).
3. Les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.
4. Sans préjudice du mécanisme de contrôle de la cohérence, toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre.
5. Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article. [Am. 183]
Article 75
Droit à un recours juridictionnel contre un responsable du traitement ou un sous‑traitant
1. Sans préjudice de tout recours administratif qui lui est ouvert, notamment le droit prévu à l’article 73 de saisir une autorité de contrôle d'une réclamation, toute personne physique dispose d'un recours juridictionnel si elle considère qu’il a été porté atteinte aux droits que lui confère le présent règlement, à la suite du traitement de données à caractère personnel la concernant, effectué en violation du présent règlement.
2. Une action contre un responsable du traitement ou un sous‑traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous‑traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique. [Am. 184]
3. Lorsqu'une procédure qui concerne la même mesure, décision ou pratique est en cours dans le cadre du mécanisme de contrôle de la cohérence prévu à l’article 58, une juridiction peut surseoir à statuer dans le litige dont elle est saisie, sauf si l'urgence de l'affaire pour la protection des droits de la personne concernée ne permet pas d'attendre l'issue de la procédure en cours dans le cadre du mécanisme de contrôle de la cohérence.
4. Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article.
Article 76
Règles communes pour les procédures juridictionnelles
1. Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et, 75 au nom d’et 77s'il est mandaté par une ou de plusieurs personnes concernées. [Am. 185]
2. Chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions du présent règlement ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l’Union.
3. Lorsqu'une juridiction compétente d’un État membre a des motifs raisonnables de croire qu'une procédure parallèle est en cours dans un autre État membre, elle prend contact avec la juridiction compétente de cet autre État membre pour obtenir confirmation de l’existence de cette procédure parallèle.
4. Lorsqu'une procédure parallèle dans un autre État membre porte sur la même mesure, décision ou pratique, la juridiction peut surseoir à statuer.
5. Les États membres veillent à ce que les voies de recours disponibles dans le droit national permettent l'adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés.
Article 77
Droit à réparation et responsabilité
1. Toute personne ayant subi un dommage, y compris un dommage non pécuniaire, du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir d'exiger du responsable du traitement ou du sous‑traitant réparation du préjudice subi. [Am. 186]
2. Lorsque plusieurs responsables du traitement ou sous‑traitants ont participé au traitement, chacun d'entre euxde ces responsables du traitement ou sous-traitants est solidairement responsable de la totalité du montant du dommage, à moins qu’ils ne disposent d’un accord écrit approprié déterminant les responsabilités conformément à l'article 24. [Am. 187]
3. Le responsable du traitement ou le sous‑traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.
Article 78
Sanctions pénales
1. Les États membres prévoient les sanctions pénales applicables aux violations des dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir leur application, y compris lorsque le responsable du traitement n’a pas respecté l’obligation de désigner un représentant. Les sanctions pénales ainsi prévues doivent être effectives, proportionnées et dissuasives.
2. Lorsque le responsable du traitement a désigné un représentant, les sanctions sont appliquées au représentant, sans préjudice de toute procédure de sanction susceptible d'être engagée contre le responsable du traitement.
3. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Article 79
Sanctions administratives
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives conformément au présent article. Les autorités de contrôle doivent coopérer, conformément aux articles 46 et 57, afin de garantir une harmonisation des niveaux de sanctions au sein de l’Union.
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation.
2 bis. L’autorité de contrôle inflige à toute personne qui ne respecte pas les obligations énoncées dans le présent règlement l’une au moins des sanctions suivantes:
a) un avertissement par écrit lors d’un premier manquement non intentionnel;
b) des vérifications périodiques régulières de la protection des données;
c) une amende pouvant atteindre 100 000 000 EUR ou au maximum 5 % du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu.
2 ter. Si le responsable du traitement ou le sous-traitant est détenteur d’un "label européen de protection des données" valable, conformément à l’article 39, l’amende prévue au point c) du paragraphe 2 bis) est exclusivement appliquée dans les cas de manquement intentionnel ou par négligence.
2 quater. La sanction administrative tient compte des facteurs suivants:
a) la nature, la gravité et la durée du manquement;
b) du fait que l'infraction a été commise intentionnellement ou par négligence;
c) le degré de responsabilité de la personne physique ou morale et les violations antérieurement commises par elle;
d) le caractère répétitif de l'infraction;
e) le degré de coopération avec l’autorité de contrôle en vue de remédier à la violation et d'atténuer les éventuels effets négatifs de l'infraction;
f) les catégories particulières de données à caractère personnel affectées par l'infraction;
g) la gravité du dommage, y compris du dommage non pécunaire, subi par les personnes concernées;
h) les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le préjudice subi par les personnes concernées;
i) tous les avantages financiers escomptés ou perçus, ou toutes les pertes évitées, imputables directement ou indirectement à l'infraction;
j) le niveau des mesures et procédures techniques et organisationnelles mises en œuvre conformément à:
i) l’article 23 – Protection des données dès la conception et protection des données par défaut;,
ii) l'article 30 – Sécurité des traitements;
iii) l’article 33 – Analyse d’impact relative à la protection des données;
iv) l’article 33 bis – Évaluation de la conformité de la protection des données;
v) l’article 35 – Désignation du délégué à la protection des données;
k) le refus de coopérer ou l'obstruction faite au déroulement des inspections, audits et contrôles menés par l'autorité de contrôle conformément à l'article 53;
l) toute autre circonstance aggravante ou atténuante applicable au cas concerné.
3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction:
a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou
b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale.
4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:
a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2;
b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4.
5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:
a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14;
b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13;
c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17.
d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l’article 18;
e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;
f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3;
g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique.
6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:
a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8;
b) traite des catégories particulières de données en violation des articles 9 et 81;
c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19;
d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20;
e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30;
f) omet de désigner un représentant conformément à l’article 25;
g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement;
h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32;
i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34;
j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37;
k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39;
l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44;
m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1;
n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2;
o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant établi en valeur absolue des amendes administratives prévues aux paragraphes 4, 5 et 6au paragraphe 2 bis, en tenant compte des critères et des facteurs visésau paragraphe 2aux paragraphes 2et 2 quater. [Am. 188]
CHAPITRE IX
DISPOSITIONS RELATIVES À DES SITUATIONS PARTICULIÈRES DE TRAITEMENT DES DONNÉES
Article 80
Traitements de données à caractère personnel et liberté d'expression
1. Les États membres prévoient,pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations aux dispositions sur les principes généraux figurant au chapitre II, sur les droits de la personne concernée figurant au chapitre III, sur le responsable du traitement et le sous‑traitant figurant au chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales figurant au chapitre V, sur les autorités de contrôle indépendantes figurant au chapitre VI, et sur la coopération et la cohérence figurant au chapitre VII,et sur les situations particulières de traitement de données figurant au présent chapitre, chaque fois que cela est nécessaire, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression, conformément à la charte. [Am. 189]
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Article 80 bis
Accès aux documents
1. Les données à caractère personnel contenues dans les documents détenus par une autorité publique ou un organe public peuvent être divulguées par cette autorité ou cet organe conformément au droit de l'Union ou de l'État membre relatif à l'accès du public aux documents officiels qui concilie le droit à la protection des données à caractère personnel et le principe du droit d'accès du public aux documents officiels.
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 190]
Article 81
Traitements de données à caractère personnel relatives à la santé
1. Dans les limites duConformément aux règles établies dans le présent règlement et conformément à l', notamment l’article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou du droit d'un État membre qui prévoit des garanties appropriées, cohérentes et spécifiques des intérêts légitimeset droits fondamentaux de la personne concernée, et doivent êtredans la mesure où ils sont nécessaires et proportionnés et où leurs effets sont prévisibles par la personne concernée:
a) aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et lorsque le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne également soumise à une obligation de confidentialité équivalente, par le droit d'un État membre ou par des réglementations arrêtées par les autorités nationales compétentes; ou
b) pour des motifs d'intérêt général dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pour la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité, entre autres pour les médicaments ou les équipements médicaux et lorsque le traitement de ces données est effectué par une personne soumise à une obligation de confidentialité; ou
c) pour d'autres motifs d'intérêt général dans des domaines tels que la protection sociale, particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance-maladie et la fourniture des services de santé. Le traitement de données à caractère personnel relatives à la santé pour des motifs d'intérêt public ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre.
1 bis. Lorsqu'il est possible de parvenir aux fins visées aux points a) à c) du paragraphe 1 sans recourir à des données personnelles, ces données ne sont pas utilisées à ces fins, à moins que la personne concernée n’ait donné son consentement ou sur la base du droit d'un État membre.
1 ter. Lorsque le consentement de la personne concernée est requis pour le traitement de données médicales exclusivement à des fins de recherche scientifique relevant du domaine de la santé publique, le consentement peut être donné pour une ou plusieurs activités de recherche spécifiques et similaires. Néanmoins, la personne concernée peut retirer son consentement à tout moment.
1 quater. Pour ce qui concerne le consentement à participer à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes de la directive 2001/20/CE du Parlement européen et du Conseil(22) s'appliquent.
2. Les traitements de données à caractère personnel relatives à la santé qui sont nécessaires à des fins de recherche historique, statistique ou scientifique, tels que les registres de patients établis pour améliorer les diagnostics, distinguer entre des types de maladies similaires et préparer des études en vue de thérapies sont soumis auxne sont autorisés qu'avec le consentement de la personne concernée sous réserve des conditions et auxdes garanties énoncées à l'article 83.
2 bis. Le droit des États membres peut prévoir des dérogations à l'exigence de consentement en matière de recherche visée au paragraphe 2 dans les cas où celle-ci sert un intérêt public élevé et ne pourrait être menée d'une autre façon. Les données en question sont anonymisées ou, lorsque cela n'est pas possible aux fins de la recherche, pseudonymisées en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées. Néanmoins, la personne concernée peut exercer son droit d'opposition à tout moment conformément à l'article 19.
3. La Commission est habilitée à adopter, après avoir demandé l’avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'autres motifsla notion d'intérêt général dans le domaine de la santé publique visée au paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1et d'intérêt public élevé dans le domaine de la recherche visée au paragraphe 2 bis.
3 bis. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 191]
Article 82
TraitementsNormes minimales pour le traitement de données en matière d'dans le cadre des relations de travail
1. Dans les limitesConformément aux dispositions du présent règlement, et compte tenu du principe de proportionnalité, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des travailleurs en matière d'dans le cadre des relations de travail, aux fins, notamment mais pas uniquement, du recrutement et de la présentation de candidatures à des emplois au sein du groupe d'entreprises, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ouet par des conventions collectives, conformément au droit national et à la pratique nationale, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. Les États membres peuvent prévoir des conventions collectives afin de préciser davantage les dispositions du présent article.
1 bis. La finalité du traitement de telles données doit être liée au motif pour lequel celles-ci ont été recueillies et demeurer dans le cadre des relations de travail. Le profilage ou l'utilisation à des fins secondaires ne sont pas autorisés.
1 ter. Le consentement d'un travailleur ne constitue pas un fondement juridique pour le traitement de données par l'employeur lorsque ce consentement n'a pas été donné librement.
1 quater. Nonobstant les autres dispositions du présent règlement, les dispositions nationales adoptées par les États membres visées au paragraphe 1 comportent au moins les normes minimales suivantes:
a) le traitement des données des travailleurs sans que ceux-ci en aient connaissance n'est pas autorisé. Nonobstant cette première phrase, les États membres peuvent prévoir, par voie législative, en fixant des délais appropriés pour la suppression des données, que le traitement des données est autorisé à condition qu’il existe une suspicion fondée sur des indices concrets, qui doivent être documentés, selon laquelle le travailleur a commis un délit ou a gravement manqué à ses obligations dans le cadre des relations de travail, que la collecte de données est nécessaire pour clarifier la situation, et que la nature et l'étendue de la collecte de données sont nécessaires et proportionnées par rapport à la finalité poursuivie. L’intimité et la vie privée du travailleur sont protégées à tout moment. L'enquête incombe à l'autorité compétente;
b) la surveillance optique et acoustique ouverte, par des moyens électroniques, des parties de l'entreprise qui ne sont pas accessibles au public et qui sont utilisées par les travailleurs pour des activités relevant de la sphère privée, comme les sanitaires, les vestiaires, les salles de repos et les chambres à coucher, n'est pas autorisée. La surveillance cachée n'est en aucun cas autorisée;
c) lorsque des entreprises ou des autorités collectent et traitent des données à caractère personnel dans le cadre d'examens médicaux et/ou de tests d'aptitude, elles doivent indiquer auparavant au candidat ou au travailleur à quelles fins ces données sont utilisées et veiller à ce que ces données soient ensuite communiquées aux intéressés avec les résultats et qu'elles leur soient expliquées s'ils en font la demande. La collecte des données à des fins de tests et d'analyses génétiques est par principe interdite;
d) il est possible de régler par convention collective la question de savoir si, et dans quelle mesure, l'utilisation du téléphone, du courrier électronique, de l'internet et des autres services de télécommunications est aussi autorisée à des fins privées. Si cette question n'est pas réglée par convention collective, l'employeur conclut directement un accord avec le travailleurs sur cette question. Dans la mesure où une utilisation privée est autorisée, le traitement des données accumulées relatives au trafic est notamment autorisé pour garantir la sécurité des données, assurer le bon fonctionnement des réseaux et des services de télécommunications ainsi qu'à des fins de facturation.
Nonobstant la troisième phrase, les États membres peuvent prévoir, par voie législative, en fixant des délais appropriés pour la suppression des données, que le traitement des données est autorisé à condition qu’il existe une suspicion fondée sur des indices concrets, qui doivent être documentés, selon laquelle le travailleur a commis un délit ou a gravement manqué à ses obligations dans le cadre des relations de travail, que la collecte de données est nécessaire pour clarifier la situation, et que la nature et l'étendue de la collecte de données sont nécessaires et proportionnées par rapport à la finalité poursuivie. L’intimité et la vie privée du travailleur sont protégées à tout moment. L'enquête incombe à l'autorité compétente;
e) les données à caractère personnel concernant des travailleurs, en particulier les données sensibles comme celles portant sur l'orientation politique, l'affiliation et les activités syndicales, ne peuvent en aucun cas être utilisées pour inscrire les travailleurs sur des "listes noires", se renseigner à leur sujet ou leur barrer l'accès à de futurs emplois. Le traitement, l'utilisation dans le cadre des relations de travail, ainsi que l'établissement et la transmission de « listes noires » de travailleurs ou toutes autres formes de discrimination sont interdits. Les États membre procèdent à des contrôles et adoptent les sanctions adéquates conformément à l'article 79, paragraphe 6, pour assurer la mise en oeuvre effective du présent point.
1 quinquies. Le transfert et le traitement des données à caractère personnel concernant des travailleurs entre entreprises juridiquement distinctes au sein d'un groupe d'entreprises et avec des professionnels fournissant une assistance juridique et fiscale sont autorisés à condition qu’ils soient pertinents pour le fonctionnement de l'entreprise et effectués dans le cadre de la réalisation d'opérations ou de procédures administratives précises, et qu’ils ne soient pas contraires aux intérêts et aux droits fondamentaux dignes de protection de la personne concernée. Si le transfert de données concernant des travailleurs est réalisé vers un pays tiers et/ou une organisation internationale, le chapitre V s'applique.
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1des paragraphes1et 1 ter, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
3. La Commission est habilitée, après avoir demandé l’avis du comité européen de la protection des données, à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. [Am. 192]
Article 82 bis
Traitement dans le cadre de la sécurité sociale
1. Les États membres peuvent, conformément aux règles établies dans le présent règlement, adopter des dispositions législatives spécifiques précisant les conditions du traitement des données à caractère personnel par leurs institutions et services publics de sécurité sociale si ce traitement est effectué dans l'intérêt public.
2. Chaque État membre notifie à la Commission les dispositions qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 193]
Article 83
Traitement de données à des fins de recherche historique, statistique et scientifique
1. Dans les limitesConformément aux dispositions du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si:
a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée;
b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manièreen appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées.
2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si:
a) la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7;
b) la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche; ou
c) la personne concernée a rendu publiques les données en cause.
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause. [Am. 194]
Article 83 bis
Traitement de données à caractère personnel par les services d'archives
1. Les données à caractère personnel, une fois que le traitement initial pour lesquelles elles ont été collectées a été effectué, peuvent faire l'objet de traitements par les services d'archives qui ont pour mission principale ou obligation légale de collecter, de conserver, d’exploiter et de diffuser ou de fournir des informations sur des archives dans l'intérêt général, notamment pour la justification des droits des personnes ou à des fins de recherche historique, statistique ou scientifique. Ces tâches sont effectuées conformément aux règles établies par les États membres en matière d'accès aux documents administratifs et aux archives, de communication et de diffusion de ceux-ci, et conformément aux dispositions du présent règlement, en particulier en ce qui concerne le consentement et le droit d'opposition.
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 195]
Article 84
Obligations de secret
1. Dans les limites duConformément aux dispositions du présent règlement, les États membres peuvent adopterveillent à ce que des règles spéciales soient établies afin de définir les pouvoirs d'investigation des autorités de contrôle prévus à l’article 53, paragraphe 2, à l’égard des responsables du traitement ou des sous‑traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous‑traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret. [Am. 196]
2. Chaque État membre notifie à la Commission les dispositions qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Article 85
Règles existantes des églises et associations religieuses en matière de protection des données
1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, un ensemble complet de des règles appropriées relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec les dispositions du présent règlement.
2. Les églises et les associations religieuses qui appliquent un ensemble complet de des règles appropriées conformément au paragraphe 1 prévoient la création d'une autorité de contrôle indépendante conformément au chapitre VI du présent règlementobtiennent un avis sur la conformité en vertu de l'article 38. [Am. 197]
Article 85 bis
Respect des droits fondamentaux
Le présent règlement n’a pas pour effet de modifier l'obligation de respecter les droits fondamentaux et les principes juridiques fondamentaux consacrés à l'article 6 du traité sur l’Union européenne.
Article 85 ter
Formulaires types
1. La Commission peut, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données, établir des formulaires types pour:
a) les méthodes particulières d'obtention du consentement vérifiable visé à l'article 8, paragraphe 1;
b) la communication visée à l'article 12, paragraphe 2, y compris sous forme électronique;
c) la communication des informations visées à l'article 14, paragraphes 1 à 3;
d) la demande et l'accès aux informations visées à l'article 15, paragraphe 1, y compris pour la communication des données à caractère personnel à la personne concernée;
e) la documentation visée à l'article 28, paragraphe 1;
f) les notifications de violations à l'autorité de contrôle en vertu de l'article 31 et la documentation visée à l'article 31, paragraphe 4;
g) les consultations préalables visées à l'article 34 et la communication d’informations aux autorités de contrôle en vertu de l'article 34, paragraphe 6.
2. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises.
3. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 87, paragraphe 2. [Am. 199]
CHAPITRE X
ACTES DÉLÉGUÉS ET ACTES D'EXÉCUTION
Article 86
Exercice de la délégation
1. Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.
2. La délégation deLe pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, d’adopter des actes délégués visé à l'article 15 13 bis, paragraphe 3 5, à l'article 17, paragraphe 9, à l'article 20 38, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, 4 à l'article 39, paragraphe 2, à l'article 41, paragraphe3, à l’article41, paragraphe5, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 76, à l'article 81, paragraphe 3, et à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conféréeconféré à la Commission pour une durée indéterminée à compter de la date d’entrée en vigueur du présent règlement. [Am. 200]
3. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3,l’article 13 bis, paragraphe 5, à l'article 17, paragraphe 9, à l'article 20 38, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, 4, à l'article 39, paragraphe 2, à l’article 41, paragraphe 3, à l’article 41, paragraphe 5, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 76, à l'article 81, paragraphe 3,et à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur. [Am. 201]
4. Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.
5. Un acte délégué adopté en vertu de l'article 6 13 bis, paragraphe 5, de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 12, paragraphe 5, de l'article 14, paragraphe 7, de l'article 15, paragraphe 3, de l'article 17, paragraphe 9, de l'article 20 38, paragraphe 6, de l'article 22, paragraphe 4, de l'article 23, paragraphe 3, de l'article 26, paragraphe 5, de l'article 28, paragraphe 5, de l'article 30, paragraphe 3, de l'article 31, paragraphe 5, de l'article 32, paragraphe 5, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 35, paragraphe 11, de l'article 37, paragraphe 2, 4, de l'article 39, paragraphe 2, de l'article 41, paragraphe3, de l'article 41, paragraphe 5, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7, de l'article 79, paragraphe 6, de l'article 81, paragraphe 3, et de l'article 82, paragraphe 3, et de l'article 83, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux six mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux six mois à l'initiative du Parlement européen ou du Conseil. [Am. 202]
Article 87
Comité
1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.
2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.
3. Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) n° 182/2011 s’applique, en liaison avec son article 5. [Am. 203]
CHAPITRE XI
DISPOSITIONS FINALES
Article 88
Abrogation de la directive 95/46/CE
1. La directive 95/46/CE est abrogée.
2. Les références faites à la directive abrogée s’entendent comme faites au présent règlement. Les références faites au groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE s'entendent comme faites au comité européen de la protection des données institué par le présent règlement.
Article 89
Relation avec la directive 2002/58/CE et modification de cette directive
1. Le présent règlement n'impose pas d'obligations supplémentaires aux personnes physiques ou morales quant au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l'Union en ce qui concerne les domaines dans lesquels elles sont soumises à des obligations spécifiques ayant le même objet énoncées dans la directive 2002/58/CE.
2 L'article 1er, paragraphe 2, et les articles 4 et 15 de la directive 2002/58/CE est supprimésont supprimés. [Am. 204]
2 bis. La Commission présente sans délai, et au plus tard à la date visée à l'article 91, paragraphe 2, une proposition de révision du cadre juridique du traitement des données à caractère personnel et de la protection de la vie privée dans le secteur des communications électroniques afin d'harmoniser ce cadre avec le présent règlement et de veiller à la cohérence et à l’uniformité des règles de droit en ce qui concerne le droit fondamental à la protection des données à caractère personnel dans l'Union. [Am. 205]
Article 89 bis
Relation avec le règlement (CE) n° 45/2001 et modification de ce règlement
1. Les dispositions du présent règlement s'appliquent au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union dans les matières auxquelles ils ne sont pas soumis aux règles supplémentaires énoncées dans le règlement (CE) n° 45/2001.
2. La Commission présente, sans retard et au plus tard à la date figurant à l'article 91, paragraphe 2, une proposition de révision du cadre juridique applicable au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union.[Am. 206]
Article 90
Évaluation
La Commission présente périodiquement des rapports sur l'évaluation et la révision du présent règlement au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur du présent règlement. Les rapports suivants sont ensuite présentés tous les quatre ans. Pour autant que de besoin, la Commission soumet des propositions appropriées en vue de modifier le présent règlement et d’harmoniser d'autres instruments juridiques, en tenant compte, notamment, de l'évolution de la technologie de l'information et des progrès de la société de l'information. Les rapports sont rendus publics.
Article 91
Entrée en vigueur et application
1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à
Par le Parlement européen Par le Conseil
Le président Le président
Annexe - Présentation des indications visées à l'article 13 bis
1) Compte tenu des dimensions visées au point 6, les indications devraient être présentées comme suit:
2) Dans les lignes de la deuxième colonne du tableau figurant au point 1, intitulée "INFORMATIONS ESSENTIELLES", les termes suivants sont présentés en caractères gras:
a) le terme "collectée" à la première ligne de la deuxième colonne;
b) le terme "conservée" à la deuxième ligne de la deuxième colonne;
c) le terme "traitée" à la troisième ligne de la deuxième colonne;
d) le terme "divulguée" à la quatrième ligne de la deuxième colonne;
e) les termes "vendue ou louée" à la cinquième ligne de la deuxième colonne;
f) le terme "non cryptée" à la sixième ligne de la deuxième colonne.
3) Compte tenu des dimensions visées au point 6, les lignes de la troisième colonne du tableau figurant au point 1, intitulée "POINT RESPECTÉ", doivent être complétées par l'une des deux formes graphiques suivantes, conformément aux critères établis au point 4:
a)
b)
4)
a) Si aucune donnée à caractère personnel n'est collectée au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la première ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).
b) Si des données à caractère personnel sont collectées au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la première ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).
c) Si aucune donnée à caractère personnel n'est conservée au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la deuxième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).
d) Si des données à caractère personnel sont conservées au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la deuxième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).
e) Si aucune donnée à caractère personnel n'est traitée à des fins autres que celles pour lesquelles elle a été collectée, la troisième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).
f) Si des données à caractère personnel sont traitées à des fins autres que celles pour lesquelles elles ont été collectées, la troisième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).
g) Si aucune donnée à caractère personnel n'est divulguée à des tiers commerciaux, la quatrième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).
h) Si des données à caractère personnel sont divulguées à des tiers commerciaux, la quatrième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).
i) Si aucune donnée à caractère personnel n'est vendue ou louée, la cinquième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).
j) Si des données à caractère personnel sont vendues ou louées, la cinquième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).
k) Si aucune donnée à caractère personnel n'est conservée de manière non cryptée, la sixième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).
l) Si des données à caractère personnel sont conservées de manière non cryptée, la sixième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).
5) Les couleurs de référence des formes graphiques présentées au point 1 sont le Noir Pantone n° 7547 et le Rouge Pantone n° 485. La couleur de référence de la forme graphique présentée au point 3, a), est le Vert Pantone n° 370. La couleur de référence de la forme graphique présentée au point 3, b), est le Rouge Pantone n° 485.
6) Les dimensions données dans le dessin gradué ci-dessous doivent être respectées même en cas de réduction ou d'agrandissement du tableau:
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).
Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178 du 17.7.2000, p. 1).
Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).
Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).
Directive 2009/38/CE du Parlement européen et du Conseil du 6 mai 2009 concernant l'institution d'un comité d'entreprise européen ou d'une procédure dans les entreprises de dimension communautaire et les groupes d'entreprises de dimension communautaire en vue d'informer et de consulter les travailleurs (JO L 122 du 16.5.2009, p. 28).
Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).
Directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés publics de travaux, de fournitures et de services (JO L 134 du 30.4.2004, p. 114).
Directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés dans les secteurs de l'eau, de l'énergie, des transports et des services postaux (JO L 134 du 30.4.2004, p. 1).
Règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).
Directive 2001/20/CE du Parlement européen et du Conseil du 4 avril 2001 concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres relatives à l'application de bonnes pratiques cliniques dans la conduite d'essais cliniques de médicaments à usage humain (JO L 121 du 1.5.2001, p. 34).
Deux ans à partir de la date d'entrée en vigueur du présent règlement.
Protection de l'euro contre le faux monnayage (Pericles 2020) ***
189k
33k
Résolution législative du Parlement européen du 12 mars 2014 sur le projet de règlement du Conseil étendant aux États membres non participants l'application du règlement (UE) n° …/2012 établissant un programme d'action en matière d'échanges, d'assistance et de formation, pour la protection de l'euro contre le faux monnayage (programme "Pericles 2020") (16616/2013 – C7-0463/2013 – 2011/0446(APP))
– vu le projet de règlement du Conseil (16616/2013),
– vu la demande d'approbation présentée par le Conseil conformément à l'article 352 du traité sur le fonctionnement de l'Union européenne (C7-0463/2013),
– vu l'article 81, paragraphe 1, premier et troisième alinéas, de son règlement,
– vu la recommandation de la commission des libertés civiles, de la justice et des affaires intérieures (A7-0152/2014),
1. donne son approbation au projet de règlement du Conseil;
2. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.
Accord UE-Azerbaïdjan visant à faciliter la délivrance de visas ***
191k
33k
Résolution législative du Parlement européen du 12 mars 2014 sur le projet de décision du Conseil relative à la conclusion de l'accord entre l'Union européenne et la République d'Azerbaïdjan visant à faciliter la délivrance de visas (17846/2013 – C7-0078/2014 – 2013/0356(NLE))
– vu le projet de décision du Conseil (17846/2013),
– vu le projet d'accord entre l'Union européenne et la République d'Azerbaïdjan visant à faciliter la délivrance de visas (15554/2013),
– vu la demande d'approbation présentée par le Conseil conformément à l'article 77, paragraphe 2, point a), et à l'article 218, paragraphe 6, deuxième alinéa, point a), du traité sur le fonctionnement de l'Union européenne (C7‑0078/2014),
– vu l'article 81, paragraphe 1, premier et troisième alinéas, l'article 81, paragraphe 2, et l'article 90, paragraphe 7, de son règlement,
– vu la recommandation de la commission des libertés civiles, de la justice et des affaires intérieures et l'avis de la commission des affaires étrangères (A7-0155/2014),
1. donne son approbation à la conclusion de l'accord;
2. charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu'aux gouvernements et aux parlements des États membres et de la République d'Azerbaïdjan.
Accord UE-Azerbaïdjan concernant la réadmission des personnes en séjour irrégulier ***
190k
33k
Résolution législative du Parlement européen du 12 mars 2014 sur le projet de décision du Conseil relative à la conclusion de l’accord entre l’Union européenne et la République d’Azerbaïdjan concernant la réadmission des personnes en séjour irrégulier (15596/2013 – C7-0079/2014 – 2013/0358(NLE))
– vu le projet de décision du Conseil (15596/2013),
– vu le projet d'accord entre l’Union européenne et la République d’Azerbaïdjan concernant la réadmission des personnes en séjour irrégulier (15594/2013),
– vu la demande d'approbation présentée par le Conseil conformément à l´article 79, paragraphe 3, et à l'article 218, paragraphe 6, deuxième alinéa, point a), du traité sur le fonctionnement de l'Union européenne (C7-0079/2014),
– vu l'article 81, paragraphe 1, premier et troisième alinéas, l'article 81, paragraphe 2, et l'article 90, paragraphe 7, de son règlement,
– vu la recommandation de la commission des libertés civiles, de la justice et des affaires intérieures et l'avis de commission des affaires étrangères (A7-0154/2014),
1. donne son approbation à la conclusion de l'accord;
2. charge son Président de transmettre la position du Parlement au Conseil et à la Commission, ainsi qu'aux gouvernements et aux parlements des États membres et de la République d'Azerbaïdjan.
L'engagement humanitaire des acteurs armés non étatiques pour la protection des enfants
121k
41k
Recommandation du Parlement européen du 12 mars 2014 à l'intention du Conseil sur l'engagement humanitaire des acteurs armés non étatiques pour la protection des enfants (2014/2012(INI))
– vu la proposition de recommandation à l'intention du Conseil déposée par Catherine Grèze, Eva Joly, Isabella Lövin, Judith Sargentini, Bart Staes et Keith Taylor, au nom du groupe Verts/ALE, sur l'engagement humanitaire des acteurs armés non étatiques pour la protection des enfants (B7-0585/2013),
– vu le rapport de 2013 du Secrétaire général des Nations unies sur les enfants en temps de conflit armé et d'autres rapports d'acteurs compétents,
– vu les orientations de l'Union européenne de 2008 sur les enfants face aux conflits armés, la stratégie de mise en œuvre de ces orientations de 2010 et la liste récapitulative de 2008 pour la prise en compte, dans les opérations PESD, de la protection des enfants touchés par les conflits armés,
– vu les conclusions du Conseil de 2008 sur "la promotion et la protection des droits de l'enfant dans le cadre de l'action extérieure de l'Union européenne – dimension du développement et dimension humanitaire",
– vu ses résolutions du 19 février 2009 sur une place spéciale pour les enfants dans l'action extérieure de l'UE(1), du 16 janvier 2008 intitulée "Vers une stratégie européenne sur les droits de l'enfant"(2), du 3 juillet 2003 sur la traite des enfants et les enfants soldats(3), du 6 juillet 2000 sur les enlèvements d'enfants par l'Armée de résistance du Seigneur (LRA)(4) et du 17 décembre 1998 sur les enfants soldats(5),
– vu les résolutions des Nations unies relatives aux droits de l'enfant, et notamment la résolution 1612 (2005) du Conseil de sécurité des Nations unies,
– vu le protocole facultatif à la convention relative aux droits de l'enfant, concernant l'implication d'enfants dans les conflits armés, qui date de 2002,
– vu les engagements de Paris en vue de protéger les enfants contre une utilisation ou un recrutement illégaux par des groupes ou des forces armés et les principes directeurs de Paris relatifs aux enfants associés aux forces armées ou aux groupes armés, adoptés les uns comme les autres le 6 février 2007,
– vu l'article 121, paragraphe 3, et l'article 97 de son règlement,
– vu le rapport de la commission du développement (A7-0160/2014),
A. considérant qu'aujourd'hui la plupart des conflits armés voient un ou plusieurs acteurs armés non étatiques affronter des États ou d'autres groupes armés, tandis que les civils, et tout particulièrement les enfants, deviennent les principales victimes de ces guerres;
B. considérant que l'éventail de ces acteurs non étatiques est très large et couvre une grande diversité d'identités, de motivations et de degrés variables de volonté et de capacité à respecter le droit humanitaire international, mais que tous doivent être soumis à un contrôle à cet égard;
C. considérant que pour mieux protéger les civils, et tout particulièrement les enfants, il faut tenir compte de toutes les parties engagées dans le conflit;
D. considérant que les règles internationales en matière humanitaire s'appliquent, de manière contraignante, à toutes les parties engagées dans un conflit armé;
E. considérant que les conflits armés nuisent très gravement au développement physique et psychique des enfants, ce qui a des conséquences à long terme du point de vue de la sécurité humaine et du développement durable;
F. considérant que le statut de la Cour pénale internationale qualifie de crime le fait de procéder à la conscription ou à l'enrôlement d'enfants de moins de 15 ans dans des forces armées ou dans des groupes armés ou de les faire participer activement à des hostilités;
G. considérant que le droit international interdit toute forme de violences sexuelles, notamment à l'encontre des enfants, et que certains actes de violences sexuelles peuvent relever du crime de guerre, du crime contre l'humanité ou du crime de génocide;
H. considérant que l'emploi de mines antipersonnel a régressé depuis l'adoption en 1997 de la convention sur l'interdiction des mines antipersonnel mais qu'il continue de constituer un danger pour les enfants, notamment dans les conflits armés qui ne présentent pas de caractère international;
I. considérant que la communauté internationale a le devoir moral d'œuvrer pour que toutes les parties engagées dans des conflits, États comme acteurs armés non étatiques, prennent des engagements afin de protéger les enfants;
J. considérant que la démobilisation, la réhabilitation et la réintégration des enfants soldats doivent faire partie de toute négociation et de tout accord de paix qui en découle et être abordées pendant le conflit lui-même;
K. considérant qu'une démobilisation et une réintégration réussies des enfants soldats peuvent contribuer à rompre les engrenages permanents de la violence;
1. adresse les recommandations suivantes au commissaire chargé du développement et à la vice-présidente de la Commission/haute représentante de l'Union pour les affaires étrangères et la politique de sécurité:
a)
encourager la signature par les États concernés et les acteurs armés non étatiques de plans d'action pour la protection des enfants lors des conflits armés avec le bureau du représentant spécial du Secrétaire général des Nations unies pour les enfants et les conflits armés, tout en rappelant qu'un tel engagement avec des acteurs armés non étatiques n'équivaut en rien à un soutien à ces groupes ou à leurs activités ni à une reconnaissance de légitimité;
b)
reconnaître les efforts entrepris par les Nations unies et les organisations internationales et non gouvernementales pour persuader les acteurs armés non étatiques de protéger les enfants, tout en rappelant que cela n'équivaut en rien à un soutien aux activités de ces acteurs ou à une reconnaissance de légitimité;
c)
inclure dans les dialogues politiques menés avec les pays tiers, par exemple dans le cadre de l'accord de Cotonou, l'objectif de prévenir et de faire cesser le recrutement et la participation forcée à des conflits d'enfants de moins de 18 ans et d'assurer la libération et la réintégration dans la société de ces derniers;
d)
rappeler que les États et les acteurs armés non étatiques doivent respecter le droit international en matière humanitaire ainsi que le droit coutumier international en matière humanitaire et les encourager à adopter des mesures spécifiques de protection des civils, tout particulièrement des enfants, tout en rappelant que de telles activités avec des acteurs armés non étatiques n'équivaut en rien à un soutien à ces groupes ou à leurs activités ni à une reconnaissance de légitimité;
e)
rappeler que le droit humanitaire international est un cadre juridique contraignant pour les groupes armés non étatiques et que l'article 3 commun aux conventions de Genève et le deuxième protocole additionnel de 1977 ont été instaurés à cette fin, à l'instar de nombreuses règles du droit coutumier international en matière humanitaire; examiner, ceci présentant une importance majeure, si les règles existantes régissant le droit humanitaire international sont appropriées pour traiter les acteurs non étatiques ou si d'autres réglementations sont nécessaires;
f)
nouer le dialogue, soit directement, soit indirectement par l'intermédiaire d'ONG spécialisées et d'organisations humanitaires, avec des acteurs armés non étatiques sur les questions de protection des filles et des garçons, dans le but d'éviter aux enfants de souffrir en raison de conflits armés et d'exhorter les acteurs armés non étatiques à signer l'acte d'engagement auprès de l'Appel de Genève pour la protection des enfants des effets des conflits armés;
g)
apporter un soutien aux organisations humanitaires qui nouent un dialogue avec des acteurs armés non étatiques afin de faire progresser le respect des règles internationales en matière humanitaire lors des conflits armés, notamment celles qui concernent la protection des enfants par des moyens politiques, diplomatiques et financiers;
h)
demander aux États membres de l'Union européenne de s'associer aux efforts menés à l'échelon international pour prévenir les attaques contre les écoles et l'usage militaire de celles-ci par des acteurs armés en adoptant les Lignes directrices de Lucens pour la protection des écoles et des universités contre l'utilisation militaire durant les conflits armés;
2. charge son Président de transmettre la présente recommandation au commissaire chargé du développement, à la vice-présidente de la Commission/haute représentante de l'Union pour les affaires étrangères et la politique de sécurité, à la Commission, au Conseil et au Service européen pour l'action extérieure.
Nombre de délégations interparlementaires, de délégations aux commissions parlementaires mixtes et de délégations aux commissions de coopération parlementaire et aux assemblées parlementaires multilatérales
119k
39k
Décision du Parlement européen du 12 mars 2014 sur le nombre des délégations interparlementaires, des délégations aux commissions parlementaires mixtes et des délégations aux commissions de coopération parlementaire et aux assemblées parlementaires multilatérales (2014/2632(RSO))
– vu la proposition de la Conférence des présidents,
– vu les accords d'association et de coopération, ainsi que les autres accords conclus par l’Union européenne avec des pays tiers,
– vu l'article 198 et l'article 200 de son règlement,
A. soucieux de contribuer, par un dialogue interparlementaire continu, au renforcement de la démocratie parlementaire,
1. décide de fixer le nombre des délégations et leur regroupement régional comme suit:
a)
Europe, Balkans occidentaux et Turquie
Délégations aux commissions parlementaires mixtes suivantes:
–
commission parlementaire mixte UE-ancienne République yougoslave de Macédoine
–
commission parlementaire mixte UE-Turquie
Délégation pour les relations avec la Suisse et la Norvège, à la commission parlementaire mixte UE-Islande et à la commission parlementaire mixte de l'Espace économique européen (EEE)
Délégation à la commission parlementaire de stabilisation et d'association UE-Serbie
Délégation à la commission parlementaire de stabilisation et d'association UE-Albanie
Délégation à la commission parlementaire de stabilisation et d'association UE-Monténégro
Délégation pour les relations avec la Bosnie-Herzégovine et le Kosovo
b)
Russie et États du partenariat oriental
Délégation à la commission de coopération parlementaire UE-Russie
Délégation à la commission de coopération parlementaire UE-Ukraine
Délégation à la commission de coopération parlementaire UE-Moldavie
Délégation pour les relations avec la Biélorussie
Délégation aux commissions de coopération parlementaire UE-Arménie, UE-Azerbaïdjan et UE-Géorgie
c)
Maghreb, Machrek, Israël et Palestine
Délégation pour les relations avec:
–
Israël
–
le Conseil législatif palestinien
–
les pays du Maghreb et l'Union du Maghreb arabe
–
les pays du Machrek
d)
Péninsule arabique, Iraq et Iran
Délégation pour les relations avec:
–
la péninsule arabique
–
l'Iraq
–
l'Iran
e)
Amériques
Délégation pour les relations avec:
–
les États-Unis
–
le Canada
–
la République fédérative du Brésil
–
les pays d'Amérique centrale
–
les pays de la Communauté andine
–
le Mercosur
Délégation à la commission parlementaire mixte UE-Mexique
Délégation à la commission parlementaire mixte UE-Chili
Délégation à la commission parlementaire Cariforum-UE
f)
Asie/Pacifique
Délégation pour les relations avec:
–
le Japon
–
la République populaire de Chine
–
l'Inde
–
l'Afghanistan
–
les pays d'Asie du Sud
–
les pays de l'Asie du Sud-Est et l'Association des nations de l'Asie du Sud-Est (ANASE)
–
la péninsule coréenne
–
l'Australie et la Nouvelle-Zélande
Délégation aux commissions de coopération parlementaire UE-Kazakhstan, UE-Kirghizistan et UE-Ouzbékistan et UE-Tadjikistan, et pour les relations avec le Turkménistan et la Mongolie
g)
Afrique
Délégation pour les relations avec:
–
l'Afrique du Sud
–
le Parlement panafricain
h)
Assemblées multilatérales
Délégation à l'Assemblée parlementaire paritaire ACP-UE
Délégation à l'Assemblée parlementaire de l'Union pour la Méditerranée
Délégation à l'Assemblée parlementaire euro-latino-américaine
Délégation à l'Assemblée parlementaire Euronest
Délégation pour les relations avec l'assemblée parlementaire de l'OTAN;
2. décide que les membres des commissions parlementaires instituées en application de l'accord de partenariat économique (APE) sont exclusivement des membres de la commission du commerce international ou de la commission du développement – dans le respect du rôle dirigeant de la commission du commerce international en tant que commission compétente au fond – et qu'ils doivent coordonner activement leurs travaux avec ceux de l'Assemblée parlementaire paritaire ACP-UE;
3. décide que les membres de l'Assemblée parlementaire de l'Union pour la Méditerranée, de l'Assemblée parlementaire euro-latino-américaine et de l'Assemblée parlementaire Euronest sont exclusivement des membres des délégations bilatérales ou sous-régionales correspondant à chaque assemblée;
4. décide que les membres de la délégation pour les relations avec l'assemblée parlementaire de l'OTAN sont exclusivement des membres de la sous-commission "sécurité et défense";
5. décide que la Conférence des présidents des délégations doit établir un projet de calendrier semestriel, qui est adopté par la Conférence des présidents après consultation de la commission des affaires étrangères, de la commission du développement et de la commission du commerce international, étant entendu toutefois que la Conférence des présidents peut modifier le calendrier afin de réagir à des événements politiques;
6. décide que les groupes politiques et les députés non inscrits désignent, pour chaque type de délégation, un nombre de suppléants permanents qui ne peut excéder le nombre des membres titulaires représentant les groupes ou les députés non inscrits;
7. décide d'intensifier la coopération avec les commissions concernées par les travaux des délégations ainsi que leur consultation en organisant des réunions conjointes entre ces organes dans ses lieux habituels de travail;
8. ne négligera aucun effort pour que, dans la pratique, un ou plusieurs rapporteurs/présidents de commission puissent également participer aux travaux des délégations, des commissions interparlementaires mixtes, des commissions de coopération parlementaire et des assemblées parlementaires multilatérales; et décide que le Président, sur demande conjointe des présidents de la délégation et de la commission concernées, autorise de telles missions;
9. décide que la présente décision entrera en vigueur lors de la première période de session de la huitième législature;
10. charge son Président de transmettre la présente décision au Conseil, à la Commission et au Service européen pour l'action extérieure.
Informer les consommateurs sur les denrées alimentaires en ce qui concerne la définition des "nanomatériaux manufacturés"
204k
41k
Résolution du Parlement européen du 12 mars 2014 sur le règlement délégué de la Commission du 12 décembre 2013 modifiant le règlement (UE) n° 1169/2011 du Parlement européen et du Conseil concernant l'information des consommateurs sur les denrées alimentaires en ce qui concerne la définition des "nanomatériaux manufacturés" (C(2013)08887 – 2013/2997(DEA))
– vu le règlement délégué de la Commission (C(2013)08887),
– vu l'article 290 du traité sur le fonctionnement de l'Union européenne,
– vu le règlement (UE) n° 1169/2011 du Parlement européen et du Conseil du 25 octobre 2011 concernant l'information des consommateurs sur les denrées alimentaires(1), et notamment son article 2, paragraphe 2, point t), son article 18, paragraphes 3 et 5 et son article 51, paragraphe 5,
– vu la proposition de la Commission en vue d'un règlement du Parlement européen et du Conseil relatif aux nouveaux aliments (COM(2013)0894),
– vu le règlement (CE) n° 1333/2008 du Parlement européen et du Conseil du 16 décembre 2008 sur les additifs alimentaires(2),
– vu les listes de l'Union établies par le règlement (UE) n° 1129/2011 de la Commission du 11 novembre 2011 modifiant l'annexe II du règlement (CE) n° 1333/2008 du Parlement européen et du Conseil en vue d'y inclure une liste de l'Union des additifs alimentaires(3) et par le règlement (UE) n° 1130/2011 de la Commission du 11 novembre 2011 modifiant l'annexe III du règlement (CE) n° 1333/2008 du Parlement européen et du Conseil sur les additifs alimentaires en vue d'y inclure une liste de l'Union des additifs alimentaires autorisés dans les additifs alimentaires, les enzymes alimentaires, les arômes alimentaires et les nutriments(4),
– vu le règlement (UE) n° 257/2010 de la Commission du 25 mars 2010 établissant un programme pour la réévaluation des additifs alimentaires autorisés, conformément au règlement (CE) n° 1333/2008 du Parlement européen et du Conseil sur les additifs alimentaires(5),
– vu la proposition de résolution de la commission de l'environnement, de la santé publique et de la sécurité alimentaire,
– vu l'article 87 bis, paragraphe 3, de son règlement,
A. considérant que l'article 18, paragraphe 3, du règlement (UE) n° 1169/2011 concernant l'information des consommateurs sur les denrées alimentaires prévoit que tous les ingrédients qui se présentent sous forme de nanomatériaux manufacturés doivent être indiqués clairement sur la liste des ingrédients alimentaires afin de garantir l'information des consommateurs; considérant que ce règlement comporte une définition des nanomatériaux manufacturés;
B. considérant que l'article 18, paragraphe 5, du règlement concernant l'information des consommateurs sur les denrées alimentaires autorise la Commission à ajuster et à adapter, par voie d'actes délégués, la définition des "nanomatériaux manufacturés" qui y est visée au progrès scientifique et technique ou aux définitions convenues au niveau international, afin de réaliser les objectifs dudit règlement;
C. considérant que la recommandation 2011/696/UE de la Commission énonce une définition générale des nanomatériaux;
D. considérant que les règlements (UE) n° 1129/2011 et (UE) n° 1130/2011 de la Commission dressent des listes de l'Union qui énumèrent tous les additifs qui étaient autorisés avant l'entrée en vigueur du règlement (CE) n° 1333/2008, après une analyse de leur conformité avec les dispositions de ce règlement;
E. considérant que le règlement délégué de la Commission exclut tous les additifs alimentaires inscrits sur les listes de l'Union de la nouvelle définition des "nanomatériaux manufacturés" et indique en lieu et place qu'il faut tenir compte de la nécessité d'établir des exigences spécifiques d'étiquetage "nano" concernant lesdits additifs dans le contexte du programme de réévaluation, conformément au règlement (UE) n° 257/2010 de la Commission, en modifiant, si nécessaire, les conditions d'utilisation dans l'annexe II du règlement (CE) n° 1333/2008 et les spécifications des additifs alimentaires prévues dans le règlement (UE) n° 231/2012 de la Commission(6);
F. considérant qu'à l'heure actuelle, ce sont précisément les additifs alimentaires qui peuvent être présents dans les denrées alimentaires sous la forme de nanomatériaux;
G. considérant que cette exemption générale annule les dispositions sur l'étiquetage de tous les additifs alimentaires qui se présentent sous la forme de nanomatériaux manufacturés; que ceci ôte à l'acte législatif son principal effet utile et va à l'encontre de l'objectif premier du règlement, qui est de garantir un niveau élevé de protection de la santé des consommateurs et de leurs intérêts en leur fournissant les informations essentielles pour leur permettre de prendre des décisions en toute connaissance de cause;
H. considérant que la Commission justifie cette exemption générale pour l'ensemble des additifs alimentaires existants en affirmant que "l'indication de tels additifs alimentaires sur la liste des ingrédients suivis du mot 'nano' entre crochets risque de jeter la confusion parmi les consommateurs, car elle peut laisser entendre que ces additifs sont nouveaux, alors qu'en réalité, ils sont utilisés sous cette forme dans les denrées alimentaires depuis des décennies";
I. considérant que cette justification est erronée et hors de propos, puisque le règlement concernant l'information des consommateurs sur les denrées alimentaires ne prévoit aucune distinction entre les nanomatériaux existants et les nouveaux nanomatériaux, mais requiert explicitement l'étiquetage de la totalité des ingrédients présents sous la forme de nanomatériaux;
J. considérant que l'objectif déclaré de la Commission, qui est de tenir compte de la nécessité d'établir des exigences spécifiques d'étiquetage "nano" concernant les additifs alimentaires sur les listes de l'Union dans le contexte du programme de réévaluation, est inopportun, car il crée la confusion entre les aspects relatifs à la sécurité des aliments et les dispositions générales d'étiquetage destinées à informer les consommateurs; considérant que cet objectif laisse également transparaître que la Commission remet en question la nécessité même d'un étiquetage spécifique des nanomatériaux, ce qui est contraire aux dispositions de l'article 18, paragraphe 3, du règlement concernant l'information des consommateurs sur les denrées alimentaires; considérant qu'un additif alimentaire est soit un nanomatériau, soit n'en est pas un, et que ces dispositions en matière d'étiquetage doivent s'appliquer à tous les additifs alimentaires autorisés présents sous la forme de nanomatériaux, indépendamment des conditions d'utilisation ou d'autres prescriptions;
K. considérant en outre qu'il est inacceptable d'invoquer un programme de réévaluation qui est étranger à la question et qui existait déjà lorsque le législateur a décidé d'intégrer des dispositions spécifiques d'étiquetage dans le règlement concernant l'information des consommateurs sur les denrées alimentaires, dans le but d'abroger ces dispositions trois ans après;
1. fait objection au règlement délégué de la Commission;
2. estime que ledit règlement délégué de la Commission n'est pas compatible avec l'objectif et le contenu du règlement (UE) n° 1169/2011et va au-delà de la délégation de pouvoir que celui-ci confère à la Commission;
3. demande à la Commission de soumettre un nouvel acte délégué qui tienne compte de la position du Parlement;
4. charge son Président de transmettre la présente résolution à la Commission et d'informer celle-ci que le règlement délégué ne peut pas entrer en vigueur;
5. charge son Président de transmettre la présente résolution au Conseil ainsi qu'aux gouvernements et aux parlements des États membres.
Règlement (UE) n° 231/2012 de la Commission du 9 mars 2012 établissant les spécifications des additifs alimentaires énumérés aux annexes II et III du règlement (CE) n° 1333/2008 du Parlement européen et du Conseil (JO L 83 du 22.3.2012, p. 1).
Traitement des données à caractère personnel à des fins de prévention de la criminalité ***I
Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))
(Procédure législative ordinaire: première lecture)
Le Parlement européen,
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0010),
– vu l'article 294, paragraphe 2, et l'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7‑0024/2012),
– vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,
– vu les avis motivés soumis par le Bundesrat allemand et le Parlement suédois, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,
– vu l'avis du Contrôleur européen de la protection des données du 7 mars 2012(1),
– vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,
– vu l'article 55 de son règlement,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et l'avis de la commission des affaires juridiques (A7-0403/2013),
1. arrête la position en première lecture figurant ci-après;
2. demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.
Position du Parlement européen arrêtée en première lecture le 12 mars 2014 en vue de l’adoption de la directive 2014/.../UE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Contrôleur européen de la protection des données(2),
statuant conformément à la procédure législative ordinaire(3),
considérant ce qui suit:
(1) La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée « charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. L'article 8, paragraphe 2, de la charte dispose que ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. [Am. 1]
(2) Le traitement des données à caractère personnel est au service de l’homme; les principes et les règles régissant la protection des personnes physiques à l'égard du traitement des données les concernant devraient , quelle que soit la nationalité ou la résidence de ces personnes, respecter leurs libertés et leurs droits fondamentaux, notamment le droit à la protection des données à caractère personnel. Le traitement des données devrait contribuer à la réalisation d'un espace de liberté, de sécurité et de justice.
(3) La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent aux autorités compétentes d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités.
(4) Cette évolution exige de faciliter la libre circulation des données, lorsque celle-ci est nécessaire et proportionnée, entre les autorités compétentes au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. Ces évolutions obligent à mettre en place dans l’Union un cadre de protection des données solide et plus cohérent, assorti d'une application rigoureuse des règles. [Am. 2]
(5) La directive 95/46/CE du Parlement européen et du Conseil(4) s'applique à l'ensemble des activités de traitement des données à caractère personnel dans les États membres, à la fois dans les secteurs public et privé. Elle ne s'applique cependant pas au traitement de données à caractère personnel mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que les activités dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.
(6) La décision-cadre 2008/977/JAI du Conseil(5) s'applique dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière. Son champ d'application se borne au traitement des données à caractère personnel qui sont transmises ou mises à disposition entre les États membres.
(7) Il est crucial d'assurer un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, doit être équivalent dans tous les États membres. Il convient d'assurerune application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer les droits des personnes concernées et les obligations de ceux qui traitent ces données, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel. [Am. 3]
(8) L’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne prévoit que le Parlement européen et le Conseil fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ainsi que les règles relatives à la libre circulation de leurs ces données à caractère personnel. [Am. 4]
(9) Sur cette base, le règlement (UE) n° …../2014 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) définit des règles générales visant à protéger les personnes physiques à l'égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l'Union.
(10) Dans la déclaration 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l'acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la Conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation de ces données dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l'article 16 du traité sur le fonctionnement de l'Union européenne pourraient s'avérer nécessaires en raison de la nature spécifique de ces domaines.
(11) Par conséquent, une directive distincte spécifique devrait permettre de répondre à la nature spécifique de ces domaines et de fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales. [Am. 5]
(12) Afin d'assurer le même niveau de protection pour les personnes physiques au moyen de droits juridiquement protégés à travers l'Union et d'éviter que des différences n'entravent les échanges de données à caractère personnel entre les autorités compétentes, la présente directive devrait prévoir des règles harmonisées pour la protection et la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.
(13) La présente directive permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents officiels.
(14) La protection conférée par la présente directive devrait concerner les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, dans le cadre du traitement des données à caractère personnel.
(15) La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application de la présente directive. La présente directive ne devrait pas s'appliquer au traitement de données à caractère personnel s’inscrivant dans le cadre d’activités ne relevant pas du champ d'application du droit de l'Union, notamment celles relatives à la sûreté de l’État, ni à celui effectué par les institutions, organes, et organismes de l'Union, tels qu’Europol ou Eurojust. Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil(6) ainsi que les instruments juridiques spécifiques applicables aux agences, organes ou bureaux de l'Union devraient être alignés sur la présente directive et appliqués conformément à celle-ci. [Am. 6]
(16) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne physique est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou distinguer ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable. La présente directive ne devrait pas s'appliquer aux données anonymes, à savoir toute donnée qui ne peut être reliée, directement ou indirectement, seule ou en association avec des données connexes, à une personne physique. Compte tenu de l'importance des évolutions en cours dans le cadre de la société de l'information, des techniques pour capter, transmettre, manipuler, enregistrer, conserver ou communiquer les données de localisation concernant des personnes physiques, qui peuvent être utilisées pour différentes finalités dont la surveillance ou la création de profils, la présente directive devrait s'appliquer aux traitements portant sur de telles données à caractère personnel. [Am. 7]
(16 bis) Tout traitement de données à caractère personnel doit être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement des données devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées. Cela exige notamment de limiter les données collectées et leur durée de conservation au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin de s’assurer que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique. [Am. 8]
(17) Les données à caractère personnel concernant la santé devraient comprendre, en particulier, l'ensemble des données se rapportant à l'état de santé d'une personne concernée; les informations relatives à l'enregistrement du patient pour la prestation de services de santé; les informations relatives aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales; toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient; des informations obtenues lors d'un contrôle ou de l'examen d'un organe ou d'une substance corporelle y compris des échantillons biologiques; l'identification d'une personne en tant que prestataire de soins de santé au patient; ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de la source, provenant par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostique in vitro.
(18) Tout traitement de données à caractère personnel devrait être loyal et licite à l'égard des personnes concernées. En particulier, les finalités spécifiques du traitement devraient être explicites. [Am. 9]
(19) Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de conserver et de traiter des données à caractère personnel, collectées dans le contexte de la prévention et de la détection d’infractions pénales spécifiques, et des enquêtes et poursuites en la matière et, au‑delà de ce contexte, pour acquérir une meilleure compréhension des phénomènes criminels et des tendances qui les caractérisent, recueillir des renseignements sur les réseaux criminels organisés et établir des liens entre les différentes infractions mises au jour. [Am. 10]
(20) Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Les données à caractère personnel traitées devraient être adéquates, pertinentes et non excessives au regard des finalités du traitement. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. [Am. 11]
(20 bis) Le simple fait que deux finalités se rapportent toutes deux à la prévention et à la détection des infractions pénales, ou aux enquêtes et aux poursuites en la matière, ou à l'exécution de sanctions pénales, ne signifie pas nécessairement que ces finalités sont compatibles. Cependant, dans certains cas, un traitement ultérieur servant des finalités incompatibles devrait être possible si cela s'avère nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, ou à la prévention d'une menace grave et immédiate pour la sécurité publique. Les États membres devraient dès lors pouvoir adopter une législation nationale prévoyant de telles dérogations, dans la mesure strictement nécessaire. Cette législation nationale devrait contenir des garanties adéquates. [Am. 12]
(21) Il conviendrait d'appliquer le principe d'exactitude des données en tenant compte de la nature et de la finalité du traitement concerné. Dans le cadre des procédures judiciaires, notamment, les déclarations contenant des données à caractère personnel sont fondées sur des perceptions personnelles subjectives et, dans certains cas, ne sont pas toujours vérifiables. En conséquence, l’exigence d’exactitude ne devrait pas porter sur l'exactitude de la déclaration elle‑même mais simplement sur le fait qu'une déclaration spécifique a été faite.
(22) Dans l'interprétation et l'application des principes généraux relatifs au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, il convient de tenir compte des particularités du domaine, y compris des objectifs spécifiques poursuivis. [Am. 13]
(23) Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes. Il importe donc d’établir une distinction aussi claire que possible entre les données à caractère personnel concernant différentes catégories de personnes, telles que les suspects, les personnes reconnues coupables d'une infraction pénale, les victimes et les tiers, tels que les témoins, les personnes détenant des informations ou des contacts utiles, et les complices de personnes soupçonnées ou condamnées. Des règles spécifiques sur les conséquences de cette catégorisation devraient être prévues par les États membres, en tenant compte des différentes finalités pour lesquelles les données sont collectées et en prévoyant des garanties spécifiques pour les personnes qui ne sont pas soupçonnées d'avoir commis ou qui n'ont pas été reconnues coupables d'avoir commis une infraction pénale. [Am. 14]
(24) Il convient, dans la mesure du possible, de différencier les données à caractère personnel en fonction de leur degré d'exactitude et de fiabilité. Il y a lieu de distinguer les faits des appréciations personnelles, afin de garantir à la fois la protection des personnes physiques et la qualité et la fiabilité des informations traitées par les autorités compétentes.
(25) Pour être licite, le traitement des données à caractère personnel devrait seulement être autorisé lorsqu'il est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, à l'exécution d'une mission d'intérêt général par une autorité compétente, fondée sur le droit , à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, ou à la prévention d'une menace grave et immédiate pour la sécurité publique de l'Union ou d’un État membre qui devrait contenir des dispositions explicites et détaillées du moins en ce qui concerne les objectifs, les données à caractère personnel, les finalités et moyens précis, désigner le responsable du traitement ou en autoriser la désignation, préciser les procédures à suivre, l'utilisation et les limitations applicables à l’étendue de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement. [Am. 15]
(25 bis) Des données à caractère personnel ne devraient pas être traitées à des fins incompatibles avec la finalité pour laquelle elles ont été collectées. Le traitement ultérieur par des autorités compétentes à des fins relevant du champ d'application de la présente directive qui ne sont pas compatibles avec la finalité initiale ne devrait être autorisé que dans des cas spécifiques dans lesquels ce traitement est nécessaire au respect d'une obligation légale prévue par le droit de l'Union ou d'un État membre auquel le responsable du traitement est soumis, ou pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne, ou pour prévenir une menace grave et immédiate pour la sécurité publique. Le fait que des données soient traitées à des fins répressives n'implique pas nécessairement que cette finalité est compatible avec la finalité initiale. La notion de compatibilité d'utilisation doit être interprétée de manière restrictive. [Am. 16]
(25 ter) Il convient de mettre un terme à tout traitement de données à caractère personnel contraire aux dispositions nationales adoptées en vertu de la présente directive. [Am. 17]
(26) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée, notamment les données génétiques, méritent une protection spécifique. Ces données ne devraient pas faire l’objet d’un traitement, à moins que celuicelui-ci ne soit spécifiquement autorisé par une loi nécessaire à l'exécution d'une mission effectuée dans l'intérêt général, fondée sur le droit de l'Union ou d'un État membre prévoyant des mesures appropriées de sauvegarde des droits fondamentaux et intérêts légitimes de la personne concernée; qu’il ne soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou qu'il ne porte sur des données manifestement rendues publiques par la personne concernée. Les données à caractère personnel sensibles ne devraient faire l'objet d'un traitement que si elles complètent d'autres données à caractère personnel déjà traitées à des fins répressives. Toute dérogation à l'interdiction du traitement de données sensibles devrait être interprétée de façon restrictive et ne pas entraîner de traitement fréquent, massif ou structurel de données à caractère personnel sensibles. [Am. 18]
(26 bis) Le traitement de données génétiques ne devrait être autorisé qu'en cas de lien génétique mis au jour dans le cadre d'une enquête criminelle ou d'une procédure judiciaire. Les données génétiques ne devraient être conservées que pendant la durée strictement nécessaire aux fins de telles enquêtes ou procédures, étant entendu que les États membres peuvent prévoir des durées de conservation plus longues selon les conditions énoncées par la présente directive. [Am. 19]
(27) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée exclusivement sur un sur un profilage partiel ou total par traitement automatisé si cette dernière. Un tel traitement qui produit des effets juridiques défavorables pour la personne concernée, ou l'affecte de façon significative, devrait être interdit, à moins que la mesure qu'il ne soit autorisée autorisé par la loi et subordonnée subordonné à des mesures appropriées de sauvegarde des droits fondamentaux et des intérêts légitimes de la personne concernée, y compris le droit d'obtenir des informations pertinentes sur la logique sous-tendant le profilage. Ce traitement ne devrait en aucun cas contenir, produire ou discriminer des données sur la base de catégories particulières de données. [Am. 20]
(28) Afin de permettre aux personnes concernées d’exercer leurs droits, toute information leur étant destinée devrait être aisément accessible et facile à comprendre, et notamment formulée en termes simples et clairs.Ces informations devraient être adaptées aux besoins des personnes concernées, en particulier lorsqu'une information est adressée spécifiquement à un enfant. [Am. 21]
(29) Des modalités devraient être prévues pour faciliter l'exercice par la personne concernée des droits qui lui sont conférés par la présente directive, notamment les moyens de demander sans frais l'accès aux données, leur rectification ou leur effacement. Le responsable du traitement devrait être tenu de répondre aux demandes de la personne concernée sans retard indu et dans un délai d'un mois à compter de la réception de la demande. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement devrait fournir les moyens d'effectuer des demandes par voie électronique. [Am. 22]
(30) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de sa base juridique, de la durée pendant laquelle les données seront conservées, de l’existence d’un droit d’accès, de rectification ou d’effacement, ainsi que de son droit d'introduire une réclamation. La personne concernée devrait en outre être informée de l'éventuelle occurrence d'un profilage et de ses conséquences escomptées. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle‑ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. [Am. 23]
(31) L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, au moment de leur enregistrement ou dans un délai raisonnable, après la collecte, eu égard aux circonstances particulières du traitement.
(32) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la base juridique, la durée de la conservation des données, ainsi que l'identité des destinataires des données, y compris dans des pays tiers, des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé et l'importance et les conséquences envisagées de ce traitement, le cas échéant, et au droit d'introduire une réclamation auprès de l'autorité de contrôle ainsi que les coordonnées de cette dernière. Les personnes concernées devraient pouvoir obtenir une copie de leurs données à caractère personnelfaisant l’objet d’un traitement. [Am. 24]
(33) Les États membres devraient être autorisés à adopter des mesures législatives visant à retarder ou à limiter l'information des personnes concernées ou leur accès aux données à caractère personnel les concernant, ou à ne pas leur accorder cette information ou cet accès, dans la mesure où et aussi longtemps qu'une telle limitation partielle ou complète représente une mesure nécessaire et proportionnée dans une société démocratique, compte dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée, afin d'éviter que des recherches, enquêtes ou procédures officielles ou légales ne soient entravées, d'éviter de nuire à la prévention et à la détection des infractions pénales, aux enquêtes et poursuites en la matière, ou à l'exécution de sanctions pénales, ou afin de protéger la sécurité publique ou la sûreté de l’État, ou de protéger la personne concernée ou les droits et libertés d'autrui. Le responsable du traitement devrait évaluer s’il convient d’appliquer une limitation partielle ou complète d’accès en procédant à un examen concret et individuel dans chaque cas. [Am. 25]
(34) Tout refus d'accès ou toute limitation de celui‑ci devrait être présenté par écrit à la personne concernée, en indiquant les motifs factuels ou juridiques sur lesquels la décision est fondée.
(34 bis) Toute limitation des droits de la personne concernée doit être conforme à la charte et à la convention européenne des droits de l'homme, telles qu'elles ont été interprétées par la Cour de justice de l'Union européenne et par la Cour européenne des droits de l'homme dans leur jurisprudence, et notamment respecter le contenu essentiel des droits et libertés. [Am. 26]
(35) Lorsqu’un État membre a adopté des mesures législatives limitant entièrement ou partiellement le droit d'accès, la personne concernée devrait avoir le droit de demander à l'autorité de contrôle nationale compétente de vérifier la licéité du traitement. La personne concernée devrait être informée de ce droit. Lorsque le droit d'accès est exercé par l'autorité de contrôle au nom de la personne concernée, l’autorité de contrôle devrait au moins informer cette dernière que toutes les vérifications nécessaires ont été effectuées et de sa conclusion concernant la licéité du traitement en question. L'autorité de contrôle devrait également informer la personne concernée de son droit de former un recours juridictionnel. [Am. 27]
(36) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel inexactes ou ayant fait l'objet d'un traitement illicite la concernant, et disposer d'un droit d’effacement lorsque le traitement de ces données n'est pas conforme aux principes généraux énoncés dispositions de la présente directive. Cette rectification, ce complément ou cet effacement devraient être communiqués aux destinataires auxquels les données ont été communiquées et aux tiers à l'origine des données inexactes. Les responsables du traitement devraient également cesser de diffuser ces données. Lorsque les données à caractère personnel sont traitées dans le cadre d’une enquête judiciaire ou d’une procédure pénale, le droit à l'information, le droit d'accès, de rectification et d'effacement, et le droit de limitation du traitement peuvent être exercés conformément aux règles nationales de procédure pénale. [Am. 28]
(37) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui‑même ou qui est réalisé pour son compte. En particulier, le responsable du traitement devrait veiller à la conformité des opérations de chaque opération de traitement avec les règles adoptées en vertu de la présente directive et être tenu de pouvoir en apporter la preuve. [Am. 29]
(38) La protection des droits et libertés des personnes concernées à l’égard du traitement des données à caractère personnel les concernant exige l’adoption de mesures techniques et organisationnelles appropriées, afin de satisfaire aux exigences prévues par la présente directive. Afin de garantir la conformité du traitement avec les dispositions adoptées en application de la présente directive, le responsable du traitement devrait adopter des règles internes et mettre en œuvre les mesures appropriées, respectant notamment les principes de protection des données dès la conception et de protection des données par défaut.
(39) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, exige une répartition claire des responsabilités au titre de la présente directive, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. La personne concernée devrait avoir le droit d'exercer ses droits au titre de la présente directive à l'égard et à l'encontre de chacun des responsables conjoints du traitement. [Am. 30]
(40) Les activités de traitement devraient être documentées par le responsable du traitement ou le sous‑traitant, afin de permettre un contrôle de la conformité du traitement avec la présente directive. Chaque responsable du traitement et sous‑traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre cette documentation à sa disposition sur demande pour qu'elles servent au contrôle des opérations de traitement .
(40 bis) Un relevé de chaque opération de traitement de données à caractère personnel devrait être établi afin de permettre la vérification de la licéité du traitement des données, l’autocontrôle et de garantir l'intégrité et la sécurité des données. Ces relevés devraient être mis à la disposition de l'autorité de contrôle sur demande pour servir au contrôle du respect des dispositions de la présente directive. [Am. 31]
(40 ter) Lorsqu'un traitement est, du fait de sa nature, de sa portée ou de ses finalités, susceptible de présenter des risques particuliers pour les droits et les libertés des personnes concernées, le responsable du traitement ou le sous-traitant devrait effectuer une analyse d'impact relative à la protection des données portant notamment sur les mesures envisagées, les garanties et les mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec la présente directive. Les analyses d'impact devraient porter sur les systèmes et processus pertinents des opérations de traitement de données à caractère personnel, et non sur des cas individuels. [Am. 32]
(41) Afin de garantir, au moyen d’actions préventives, une protection effective des droits et libertés des personnes concernées, le responsable du traitement ou le sous‑traitant devrait, dans certains cas, consulter l’autorité de contrôle avant d’entamer le traitement. De plus, lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement sont susceptibles d'exposer les droits et libertés des personnes concernées à un degré élevé de risques particuliers, l'autorité de contrôle devrait être en mesure d'empêcher, avant le début de l'opération, un traitement risqué non conforme à la présente directive, et de formuler des propositions visant à remédier à une telle situation. Cette consultation peut également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur une telle mesure législative définissant la nature du traitement et instaurant les garanties appropriées. [Am. 33]
(41 bis) Afin de préserver la sécurité et de prévenir tout traitement contraire à la présente directive, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en oeuvre des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, des techniques les plus récentes et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Il convient de promouvoir la neutralité technologique lors de l'établissement de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement. [Am. 34]
(42) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer un dommage une grave perte économique et des dommages sociaux importants, notamment une atteinte à la réputation de usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu’une telle violation s’est produite, il convient qu'il la notifie à l’autorité nationale compétente. Les personnes physiques dont les données à caractère personnel ou la vie privée pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de leur permettre de prendre les précautions qui s’imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne physique lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation, consécutifs au traitement des données à caractère personnel. La notification devrait comporter des informations sur les mesures prises par le fournisseur pour remédier à cette violation, ainsi que des recommandations à l'intention de l'abonné ou de la personne concernée. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des orientations fournies par celle-ci. [Am. 35]
(43) Lors de la fixation des règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d’abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités compétentes dans les cas où une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances de la violation.
(44) Le responsable du traitement ou le sous‑traitant devrait désigner une personne chargée de l'aider à contrôler et à démontrer la bonne application des dispositions adoptées en vertu de la présente directive. Un Lorsque plusieurs autorités compétentes agissent sous le contrôle d'une autorité centrale, il devrait incomber au moins à cette autorité centrale de désigner ce délégué à la protection des données peut être désigné conjointement par plusieurs entités de l'autorité compétente. Les délégués à la protection des données doivent être en mesure d'accomplir leurs missions et obligations de manière effective et en toute indépendance, en particulier en fixant des règles évitant les conflits d'intérêts avec d'autres missions que ces délégués accomplissent. [Am. 36]
(45) Les États membres devraient veiller à ce qu'un transfert vers un pays tiers n'ait lieu que s'il si ce transfert spécifique est nécessaire à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, et si le responsable du traitement dans le pays tiers ou dans l'organisation internationale est une autorité publique compétente au sens de la présente directive. Un transfert peut avoir lieu lorsque la Commission a décidé que le pays tiers ou l'organisation internationale en question garantit un niveau adéquat de protection, ou lorsque des garanties appropriées ont été offertes, ou lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant. Les données transférées aux autorités publiques compétentes dans les pays tiers ne devraient pas faire l'objet d'un traitement ultérieur pour d'autres finalités que celle pour laquelle elles ont été transférées. [Am. 37]
(45 bis) Un transfert ultérieur par les autorités compétentes des pays tiers ou des organisations internationales auxquels des données à caractère personnel ont été transférées ne devrait être autorisé que si ce transfert ultérieur est nécessaire pour la même finalité spécifique que celle du transfert initial, et si le deuxième destinataire est également une autorité publique compétente. Les transferts ultérieurs à des fins d'application générale de la loi ne devraient pas être autorisés. L'autorité compétente qui a procédé au transfert initial devrait avoir donné son accord au transfert ultérieur. [Am. 38]
(46) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau adéquat de protection des données, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union en ce qui concerne les pays tiers ou les organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation.
(47) Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait prendre en considération la manière dont ce pays tiers respecte l'état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme.
(48) La Commission devrait également pouvoir constater qu’un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit, sauf lorsqu'il est fondé sur une convention internationale, des garanties appropriées ou une dérogation. Il y aurait lieu de prévoir des procédures de consultation entre la Commission et le pays tiers ou l'organisation internationale. Cependant, une telle décision de la Commission s’entend sans préjudice de la possibilité d'effectuer des transferts sur le fondement de garanties appropriées au moyen d'instruments juridiquement contraignants ou d'une dérogation prévue par la directive. [Am. 39]
(49) Les transferts qui ne sont pas fondés sur une décision relative au caractère adéquat du niveau de protection ne devraient être autorisés que lorsque des garanties appropriées ont été offertes dans un instrument juridiquement contraignant, assurant la protection des données à caractère personnel, ou lorsque le responsable du traitement ou le sous‑traitant a évalué toutes les circonstances entourant le transfert ou la série de transferts de données et estime, au vu de cette évaluation, qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel. Lorsqu'il n'y a pas de motif d'autoriser le transfert, des dérogations devraient être permises si elles sont nécessaires à la sauvegarde des intérêt vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, si le droit de l'État membre qui transfère les données à caractère personnel le prévoit, ou si les dérogations sont indispensables à la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, ou, dans certains cas, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution des sanctions pénales, ou, dans des cas particuliers, à la constatation, l'exercice ou la défense d'un droit en justice. [Am. 40]
(49 bis) Lorsqu'il n'y a pas de motif d'autoriser le transfert, des dérogations devraient être permises si elles sont nécessaires à la protection des intérêts vitaux de la personne concernée ou d'une autre personne, à la préservation des intérêts légitimes de la personne concernée, si le droit de l'État membre qui transfère les données à caractère personnel le prévoit, ou si les dérogations sont indispensables à la prévention d'une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, ou, dans des cas particuliers, à des fins de prévention et de détection des infractions pénales, d'enquête et de poursuites en la matière, ou d'exécution de sanctions pénales, ou, dans des cas particuliers, à la constatation, l'exercice ou la défense d'un droit en justice. Ces dérogations devraient être interprétées de manière restrictive et ne devraient pas permettre un transfert fréquent, massif et structurel de données à caractère personnel ni un transfert global de données qui devrait être limité aux données strictement nécessaires. De plus, la décision de transfert devrait être prise par une personne dûment autorisée et le transfert doit être documenté et devrait être mis à la disposition de l'autorité de contrôle sur demande à des fins de vérification de la licéité du transfert. [Am. 41]
(50) Lorsque des données à caractère personnel franchissent les frontières, elles accroissent le risque que les personnes physiques ne puissent exercer leur droit à la protection des données pour se protéger de l’utilisation ou la divulgation illicite de ces dernières. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontière peuvent également être freinés par les pouvoirs de prévention ou de réparation insuffisants dont elles disposent ou par l'hétérogénéité des régimes juridiques. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle chargées de la protection des données, afin qu'elles puissent échanger des informations avec leurs homologues étrangers.
(51) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Il appartiendrait aux autorités de contrôle de surveiller l'application des dispositions de la présente directive et de contribuer à ce que cette application soit uniforme dans l'ensemble de l'Union, pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel. À cet effet, il convient que les autorités de contrôle coopèrent entre elles et avec la Commission. [Am. 42]
(52) Les États membres peuvent confier à une autorité de contrôle déjà créée dans les États membres u titre du règlement (UE) n° …./2014 la responsabilité des missions qui incombent aux autorités nationales de contrôle à instituer au titre de la présente directive.
(53) Les États membres devraient avoir la possibilité d'instituer plusieurs autorités de contrôle pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Il convient que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains appropriés, ainsi que des locaux et des infrastructures, y compris des capacités techniques, de l'expérience et des qualifications, nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. [Am. 43]
(54) Les conditions générales applicables aux membres de l’autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernementde l’État membre, sur la base d'une consultation du parlement, et comprendre des dispositions régissant la qualification et la fonction de ces membres. [Am. 44]
(55) Bien que la présente directive s'applique également aux activités des juridictions nationales, la compétence des autorités de contrôle ne devrait pas s'étendre aux traitements de données à caractère personnel effectués par les juridictions dans le cadre de leur fonction juridictionnelle, afin de préserver l'indépendance des juges dans l'exercice de leurs fonctions judiciaires. Il convient toutefois que cette exception soit limitée aux activités purement judiciaires intervenant dans le cadre d'affaires portées devant les juridictions et qu'elle ne s'applique pas aux autres activités auxquelles les juges pourraient être associés en vertu du droit national.
(56) Afin d'assurer la cohérence du contrôle et de l'application de la présente directive dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont des pouvoirs d'enquête, effectifs, le droit d'accéder à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de chaque fonction de surveillance, le droit d'accéder à tous les locaux des responsables du traitement ou des sous-traitants, y compris à toute installation de traitement des données, des pouvoirs d'intervention juridiquement contraignante, de décision et de sanction, en particulier en cas de réclamation introduite par des personnes physiques, et le pouvoir d'ester en justice. [Am. 45]
(57) Chaque autorité devrait recevoir les réclamations des personnes concernées et examiner les affaires en question. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée.
(58) Les autorités de contrôle devraient se prêter mutuellement assistance dans l’exercice de leurs fonctions, afin d'assurer une application et une exécution cohérentes des dispositions adoptées en vertu de la présente directive. Chaque autorité de contrôle devrait être disposée à participer à des opérations conjointes. L'autorité de contrôle requise devrait être tenue de répondre à la demande dans un délai déterminé. [Am. 46]
(59) Le comité européen de la protection des données institué par le règlement (UE) …/20122014 devrait contribuer à l'application cohérente de la présente directive dans toute l'Union, notamment en conseillant la Commission et les institutions de l'Union, en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, et donner son avis à la Commission dans le cadre de l'élaboration des actes délégués et des actes d'exécution fondés sur la présente directive. [Am. 47]
(60) Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours si elle estime que les droits que lui confère la présente directive ne sont pas respectés, si l’autorité de contrôle ne donne pas suite à une réclamation ou si elle n’agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée.
(61) Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données les concernant et qui est qui agitdans l'intérêt général et qui est constitué conformément au droit d’un État membre devrait avoir le droit d'introduire une réclamation ou d'exercer le droit de recours pour le compte de personnes concernées l'ayant mandaté à cet effet, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel a été commise. [Am. 48]
(62) Toute personne physique ou morale devrait disposer d'un droit de recours contre les décisions d'une autorité de contrôle qui la concernent. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.
(63) Les États membres devraient veiller à ce que les actions en justice, pour être efficaces, permettent l'adoption rapide de mesures visant à réparer ou à prévenir une violation de la présente directive.
(64) Tout dommage, y compris les dommages non pécuniaires, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous‑traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. [Am. 49]
(65) Toute personne physique ou morale, soumise au droit privé ou au droit public, qui ne respecte pas la présente directive devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application.
(65 bis) La transmission de données à caractère personnel à d'autres autorités ou à des tiers privés dans l'Union est interdite sauf si celle-ci est conforme à la législation et que le destinataire est établi dans un État membre et qu'aucun intérêt spécifique légitime de la personne concernée n'empêche la transmission, et que la transmission est nécessaire, dans un cas particulier, pour le responsable du traitement qui transmet les données à caractère personnel, soit pour exécuter une tâche qui lui a été légalement assignée, soit pour prévenir un danger grave et immédiat pour la sécurité publique, soit encore pour prévenir une atteinte grave aux droits des personnes. Le responsable du traitement devrait informer le destinataire de la finalité du traitement et l'autorité de contrôle de la transmission. Il convient également de veiller à ce que le destinataire soit informé des limitations du traitement et de garantir le respect de ces limitations. [Am. 50]
(66) Afin de réaliser les objectifs de la présente directive, à savoir la protection des libertés et droits fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir le libre échange de ces dernières par les autorités compétentes au sein de l’Union, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l'Union européenne. En particulier, des actes délégués devraient être adoptés en ce qui concerne la notification des violations de données à caractère personnel à l'autorité de contrôle pour préciser davantage les critères et conditions des opérations de traitement nécessitant une analyse d'impact relative à la protection des données ; les critères et exigencesen cas de violations de données et en ce qui concerne le niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, en particulier avec le comité européen de la protection des données. Il convient que, lorsqu’elle prépare et élabore des actes délégués, la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil. [Am. 51]
(67) Afin d’assurer des conditions uniformes d’exécution de la présente directive en ce qui concerne la documentation tenue par les responsables du traitement et les sous‑traitants, la sécurité du traitement, notamment en matière de normes de cryptage, et la notification d'une violation des données à caractère personnel à l'autorité de contrôle, et le niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(7). [Am. 52]
(68) Il convient d’avoir recours à la procédure d'examen pour l'adoption de mesures relatives à la documentation tenue par les responsables du traitement et les sous‑traitants, à la sécurité du traitement, et à la notification d'une violation des données à caractère personnel à l'autorité de contrôle, et au niveau adéquat de protection atteint par un pays tiers, un territoire ou un secteur de traitement des données dans ce pays tiers, ou une organisation internationale, puisque ces actes sont de portée générale. [Am. 53]
(69) La Commission devrait adopter des actes d’exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, un territoire ou secteur de traitement des données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, des raisons d’urgence impérieuses l’exigent. [Am. 54]
(70) Étant donné que les objectifs de la présente directive, à savoir protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnelles, et garantir le libre échange de ces dernières par les autorités compétentes au sein de l’Union, ne peuvent pas être atteints de manière suffisante par les États membres et mais peuvent , en raison des dimensions ou des effets de l'action, l’être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif, ces objectifs. Les États membres peuvent prévoir des normes plus élevées que celles établies par la présente directive. [Am. 55]
(71) La décision‑cadre 2008/977/JAI devrait être abrogée par la présente directive.
(72) Les dispositions spécifiques concernant le traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales, mentionnées dans des actes de l'Union adoptés avant la date d'adoption de la présente directive, qui régissent le traitement de données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, devraient demeurent inchangées. La Étant donné que l'article 8 dela charte et l'article 16 du traité sur le fonctionnement de l'Union européenne impliquent que le droit fondamental à la protection des données à caractère personnel devrait être garanti de manière systématique et homogène dans l'ensemble de l'Union, la Commission devrait évaluer, dans les deux ans suivant la date d’entrée en vigueur dela présente directive, la situation en ce qui concerne la relation entre la présente directive et les actes adoptés avant la date de son adoption, qui régissent le traitement des données à caractère personnel entre États membres ou l'accès d'autorités désignées des États membres aux systèmes d'information créés en vertu des traités, afin d'apprécier la nécessité de mettre ces dispositions spécifiques en conformité avec et devrait présenter des propositions adéquates en vue d'assurerla cohérence et l'homogénéité des règles juridiques relatives au traitement des données à caractère personnel par les autorités compétentes ou à l'accès des autorités désignées des États membres aux systèmes d'information créés en vertu des traités ainsi qu'au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales relevant du champ d’application de la présente directive. [Am. 56]
(73) Afin d'assurer une protection exhaustive et cohérente des données à caractère personnel dans l'Union, il convient de modifier les conventions et accords internationaux conclus par l'Union ou par les États membres avant l'entrée en vigueur de la présente directive, pour les harmoniser avec cette dernière. [Am. 57]
(74) La présente directive est sans préjudice des dispositions relatives à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie, prévues dans la directive 2011/93/UE du Parlement européen et du Conseil(8).
(75) Conformément à l'article 6 bis du protocole n° 21 sur la position du Royaume‑Uni et de l'Irlande à l'égard de l'espace de liberté, de sécurité et de justice, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Royaume‑Uni et l'Irlande ne sont pas liés par les règles fixées dans la présente directive lorsque le Royaume-Uni et l'Irlande ne sont pas liés par les règles qui régissent des formes de coopération judiciaire en matière pénale ou de coopération policière dans le cadre desquelles les dispositions fixées sur la base de l'article 16 du traité sur le fonctionnement de l'Union européenne doivent être respectées.
(76) Conformément aux articles 2 et 2 bis du protocole n° 22 sur la position du Danemark, annexé au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, le Danemark n'est pas lié par la présente directive ni soumis à son application. Étant donné que la présente directive développe l'acquis de Schengen, en vertu du titre V de la troisième partie du traité sur le fonctionnement de l'Union européenne, le Danemark décidera, conformément à l'article 4 dudit protocole, dans un délai de six mois après l'adoption de la présente directive, s'il transposera celle‑ci dans son droit national. [Am. 58]
(77) En ce qui concerne l’Islande et la Norvège, la présente directive constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(9).
(78) En ce qui concerne la Suisse, la présente directive constitue un développement des dispositions de l'acquis de Schengen au sens de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(10).
(79) En ce qui concerne le Liechtenstein, la présente directive constitue un développement des dispositions de l'acquis de Schengen au sens du protocole signé entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(11).
(80) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte, consacrés par le traité, et notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à un procès équitable. Les limitations apportées à ces droits sont conformes à l'article 52, paragraphe 1, de la charte car elles sont nécessaires pour répondre à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui.
(81) Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs(12), les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d'une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée.
(82) La présente directive ne saurait empêcher les États membres de mettre en oeuvre l'exercice des droits des personnes concernées en matière d'information, d'accès, de rectification, d'effacement et de limitation du traitement de leurs données à caractère personnel dans le cadre de poursuites pénales, et les éventuelles limitations de ces droits, dans leurs dispositions nationales en matière de procédure pénale,
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet et objectifs
1. La présente directive établit les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou et de l'exécution de sanctions pénales et des conditions de la libre circulation de ces données à caractère personnel.
2. Conformément à la présente directive, les États membres:
a) protègent les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection des de leurs données à caractère personnel et de leur vie privée; et
b) veillent à ce que l'échange de données à caractère personnel par les autorités compétentes au sein de l'Union ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
2 bis. La présente directive n'empêche pas les États membres de prévoir des garanties plus strictes que celles qu'elle établit. [Am. 59]
Article 2
Champ d’application
1. La présente directive s'applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1.
2. La présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
3. La présente directive ne s'applique pas au traitement de données à caractère personnel effectué:
a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;
b) par les institutions, organes et organismes de l'Union. [Am. 60]
Article 3
Définitions
Aux fins de la présente directive, on entend par:
(1) «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à des identifiants en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
(2) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d'identification, des données de localisation, un identifiant unique ou un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne;
(2 bis) "données pseudonymes", des données à caractère personnel ne pouvant être attribuées à une personne concernée déterminée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution;
(3) «traitement de données à caractère personnel», toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que la limitation du traitement, l'effacement ou la destruction;
(3 bis) "profilage", toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement;
(4) «limitation du traitement», le marquage de données à caractère personnel mises en mémoire, en vue de limiter leur traitement futur;
(5) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
(6) «responsable du traitement», l'autorité publique compétente qui, seule ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par le droit d'un État membre;
(7) «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
(8) «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel;
(9) «violation de données à caractère personnel», une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées,de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d'une autre manière;
(10) «données génétiques», toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal;
(11) «données biométriques», toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;
(12) «données concernant la santé», toute information donnée à caractère personnel relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne,
(13) «enfant», toute personne âgée de moins de dix-huit ans;
(14) «autorités compétentes», toute autorité publique compétente à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.
(15) «autorité de contrôle», une autorité publique qui est instituée par un État membre conformément à l'article 39. [Am. 61]
CHAPITRE II
PRINCIPES
Article 4
Principes relatifs au traitement des données à caractère personnel
Les États membres prévoient que les données à caractère personnel doivent être:
a) traitées loyalement et licitement de manière licite, loyale, transparente et vérifiable au regard de la personne concernée;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités;
c) adéquates, pertinentes et non excessives limitéesau minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si et pour autant que les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel;
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées;
f) traitées sous la responsabilité du responsable du traitement, qui veille au garantit et est en mesure de démontrer le respect des dispositions adoptées en vertu de la présente directive ;
f bis) traitées d'une manière qui permette effectivement à la personne concernée d'exercer ses droits, tels que visés aux articles 10 à 17;
f ter) traitées d'une manière qui protège contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées;
f quater) traitées uniquement par les membres du personnel dûment autorisés des autorités compétentes qui ont besoin de ces données pour l'exercice de leurs missions. [Am. 62]
Article 4 bis
Accès aux données initialement traitées à des fins autres que celles visées à l'article 1er, paragraphe 1
1. Les États membres prévoient que les autorités compétentes peuvent seulement avoir accès aux données à caractère personnel initialement traitées à des fins autres que celles visées à l'article 1er, paragraphe 1, dès lors que le droit de l'Union ou ou des États membres qui les y autorise spécifiquement satisfait aux exigences énoncées à l'article 7, paragraphe 1 bis, et dispose ce qui suit:
a) l'accès est limité aux seuls membres dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas déterminé, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales;
b) toute demande d'accès doit être présentée par écrit et préciser le motif juridique de la demande;
c) la demande écrite doit être documentée; et
d) des garanties appropriées sont mises en œuvre afin d'assurer la protection des libertés et droits fondamentaux en relation avec le traitement des données à caractère personnel. Ces garanties sont sans préjudice des conditions spécifiques d'accès aux données à caractère personnel comme l'autorisation judiciaire conformément au droit des États membres, et viennent compléter ces conditions.
2. L'accès aux données à caractère personnel détenues par des tiers privés ou d'autres autorités publiques n'est possible qu'à des fins d'enquête ou de poursuites concernant des infractions pénales, dans le respect des exigences de nécessité et de proportionnalité devant être arrêtées par le droit de l'Union ou des États membres, en pleine conformité avec l'article 7 bis. [Am. 63]
Article 4 ter
Délais de conservation et d'examen
1. Les États membres prévoient que les données à caractère personnel traitées en vertu de la présente directive sont supprimées par les autorités compétentes lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées.
2. Les États membres prévoient la mise en place, par les autorités compétentes, de mécanismes assurant la fixation de délais, en vertu de l'article 4, applicables à l'effacement des données à caractère personnel et à l’examen périodique de la nécessité de conserver ces données, y compris la fixation de délais de conservation pour les différentes catégories de données à caractère personnel. Des mesures procédurales sont établies afin de garantir le respect de ces délais ou de ces intervalles d'examen périodique. [Am. 64]
Article 5
Distinction entre Différentes catégories de personnes concernées
1. Les États membres prévoient que le responsable du traitement établit, dans la mesure du possible, une distinction claire entre les autorités compétentes, pour les finalités visées à l'article 1er, paragraphe 1, peuvent traiter les les données à caractère personnel de différentes des seules catégories de personnes concernées, telles que suivantes, entre lesquelles le responsable du traitement des donnés établit une distinction claire:
a) les personnes à l'égard desquelles il existe des motifs sérieux raisonnables de croire qu'elles ont commis ou sont sur le point de commettre une infraction pénale;
b) les personnes reconnues coupables d'une infraction pénaled’un crime;
c) les victimes d'une infraction pénale ou les personnes à l'égard desquelles certains faits portent à croire qu'elles pourraient être victimes d'une infraction pénale; et
d) les tiers à l'infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d'enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, ou une personne pouvant fournir des informations sur des infractions pénales, ou un contact ou un associé de l'une des personnes mentionnées aux points a) et b); et
e) les personnes qui n'appartiennent à aucune des catégories susmentionnées.
2. Les données à caractère personnel des personnes concernées autres que celles visées au paragraphe 1 ne peuvent être traitées:
a) qu'aussi longtemps que cela s'avère nécessaire à des fins d'enquêtes ou de poursuites concernant une infraction pénale spécifique, pour évaluer la pertinence des données au regard de l'une des catégories indiquées au paragraphe 1; ou
b) que si ce traitement est indispensable pour atteindre des objectifs ciblés et préventifs ou à des fins d'analyse criminelle, si, et pour autant que, cette finalité soit légitime, bien définie et spécifique, et que le traitement soit strictement limité à l'évaluation de la pertinence des données au regard de l'une des catégories indiquées au paragraphe 1. Ceci fait l'objet d'un réexamen régulier au moins tous les six mois. Tout autre usage est interdit.
3. Les États membres prévoient que les garanties et les limites complémentaires prévues par les dispositions du droit des État membres s'appliquent au traitement ultérieur des données à caractère personnel relatives aux personnes concernées visées au paragraphe 1, points c) et d). [Am. 65]
Article 6
Niveaux d’exactitude et de fiabilité des données à caractère personnel
1. Les États membres veillent à ce qu'une distinction soit établie, dans la mesure du possible, entre les différentes catégories de garantir l'exactitude et la fiabilité des données à caractère personnel soumises à un traitement, selon leur niveau de précision et de fiabilité.
2. Les États membres veillent à ce que les données à caractère personnel fondées sur des faits soient, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles, conformément à leur degré d'exactitude et de fiabilité.
2 bis. Les États membres veillent à ce que les données à caractère personnel inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, les autorités compétentes évaluent la qualité des données à caractère personnel avant leur transmission ou mise à disposition. Dans la mesure du possible, lors de toute transmission de données, les informations disponibles sont jointes aux données, afin que l'État membre destinataire puisse juger de l'exactitude, de l'exhaustivité, de l'actualité et de la fiabilité desdites données. Les données à caractère personnel sont uniquement transmises sur demande d'une autorité compétente, en particulier les données détenues initialement par des tiers privés.
2 ter. S'il s'avère que des données inexactes ont été transmises ou que des données ont été transmises illicitement, le destinataire doit en être informé sans délai. Le destinataire est tenu de rectifier sans délai les données conformément au paragraphe 1 et à l'article 15 ou de les effacer conformément à l'article 16. [Am. 66]
Article 7
Licéité du traitement
1. Les États membres prévoient que le traitement des données à caractère personnel n'est licite que si, et dans la mesure où, il est fondé sur le droit de l'Union ou des États membres pour les finalités exposées à l'article 1er, paragraphe 1, et qu'il est nécessaire:
(a) à l'exécution d'une mission par une autorité compétente, en vertu de la législation, pour les finalités énoncées à l'article 1er, paragraphe 1; ou
(b) au respect d'une obligation légale à laquelle le responsable du traitement est soumis; ou
(c) à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou
(d) pour prévenir une menace grave et immédiate pour la sécurité publique.
1 bis. Le droit des États membres régissant le traitement des données à caractère personnel qui relèvent du champ d’application de la présente directive contiennent des dispositions explicites et détaillées précisant à tout le moins:
a) les objectifs du traitement;
b) les données à caractère personnel à traiter;
c) les finalités et moyens spécifiques du traitement;
d) la désignation du responsable du traitement, ou les critères spécifiques présidant à cette désignation;
e) les catégories de membres du personnel des autorités compétentes dûment autorisées à traiter les données à caractère personnel;
f) la procédure à suivre pour le traitement;
g) l'utilisation pouvant être faite des données à caractère personnel recueillies;
h) les limitations applicables à l’étendue de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement.[Am. 67]
Article 7 bis
Traitement ultérieur à des fins incompatibles
1. Les États membres prévoient que le traitement ultérieur des données à caractère personnel à des fins autres que celles énoncées à l'article 1er, paragraphe 1, qui n'est pas compatible avec la finalité de la collecte initiale, n'est autorisé que si, et dans la mesure où:
a) ce traitement ultérieur est strictement nécessaire et proportionné dans une société démocratique et requis par le droit de l’Union ou le droit des États membres pour une finalité légitime, bien définie et spécifique;
b) le traitement est strictement limité à une période n'excédant pas la durée nécessaire pour l'opération spécifique de traitement des données;
c) toute utilisation ultérieure pour d'autres finalités est interdite.
Avant de procéder à tout traitement, l'État membre consulte l’autorité de contrôle nationale compétente et procède à une analyse d'impact relative à la protection des données.
2. Outre les exigences énoncées à l'article 7, paragraphe 1 bis, le droit des États membres autorisant le traitement ultérieur visé au paragraphe 1 contient des dispositions explicites et détaillées précisant à tout le moins:
a) les finalités et moyens spécifiques de ce traitement particulier;
b) que l'accès est limité aux seuls membres du personnel dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas particulier, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection des infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales; et
c) que des garanties appropriées sont mises en place afin d'assurer la protection des libertés et droits fondamentaux en relation avec le traitement des données à caractère personnel.
Les États membres peuvent exiger que cet accès aux données à caractère personnel soit assorti de conditions supplémentaires telles qu'une autorisation judiciaire, conformément à leur droit national.
3. Les États membres peuvent également autoriser le traitement ultérieur de données à caractère personnel à des fins historiques, statistiques et scientifiques dès lors qu'ils mettent en place les garanties appropriées comme l'anonymisation des données. [Am. 68]
Article 8
Traitements portant sur des catégories particulières de données à caractère personnel
1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance syndicale et les activités syndicales, ainsi que le traitement des données génétiquesbiométriques ou des données concernant la santé ou la vie sexuelle.
2. Le paragraphe 1 ne s'applique pas lorsque:
a) le traitement est autorisé par une strictement nécessaire et proportionné à l'exécution d'une mission effectuée par les autorités compétentes aux fins énoncées à l'article 1er, paragraphe 1, sur la base du droit prévoyant de l'Union ou du droitdes États membres qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des intérêts légitimes de la personne concernée, y compris une autorisation spécifique d'une autorité judiciaire si le droit national l'exige; ou
b) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou
c) le traitement porte sur des données manifestement rendues publiques par la personne concernée à condition qu'elles soient pertinentes et strictement nécessaires à la finalité poursuivie dans un cas spécifique. [Am. 69]
Article 8 bis
Traitement de données génétiques aux fins d'une enquête criminelle ou d'une procédure judiciaire
1. Les États membres veillent à ce que les données génétiques ne puissent être utilisées qu'afin d'établir un lien génétique dans le cadre de la fourniture de preuves, de la prévention d'une menace pour la sécurité publique ou de la commission d'une infraction pénale spécifique. Les données génétiques ne peuvent être utilisées pour déterminer d'autres caractéristiques susceptibles d'être génétiquement liées.
2. Les États membres prévoient que les données génétiques ou les informations découlant de leur analyse ne peuvent être conservées au-delà de ce qui est nécessaire aux fins pour lesquelles les données sont traitées et lorsque la personne concernée a été reconnue coupable d'atteintes graves à la vie, l'intégrité ou la sécurité de personnes, sous réserve de durées de conservation strictes fixées par le droit des États membres.
3. Les États membres s'assurent que les données génétiques ou les informations découlant de leur analyse ne sont conservées pour des durées plus longues que si les données génétiques ne peuvent être attribuées à une personne, en particulier lorsqu'elles ont été trouvées sur une scène de crime.[Am. 70]
Article 9
Mesures fondées sur le profilage et sur le traitement automatisé
1. Les États membres prévoient que les mesures produisant des effets juridiques défavorables pour la personne concernée ou l'affectant de manière significative et qui sont prises partiellement ou entièrement sur le seul fondement d’un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à cette personne sont interdites, à moins d'être autorisées par une loi qui prévoit également des mesures destinées à préserver les intérêts légitimes de la personne concernée.
2. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à la personne concernée ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel visées à l’article 8.
2 bis. Le traitement automatisé de données à caractère personnel destiné à distinguer une personne concernée en l'absence d'un soupçon initial portant à croire que cette personne concernée pourrait avoir commis, ou commettra à l'avenir, une infraction pénale n'est licite que si, et pour autant que, ce traitement est strictement nécessaire pour enquêter sur une infraction pénale grave ou pour prévenir un danger clair, imminent et établi sur la base d'indications factuelles, pour la sécurité publique, l'existence de l'État ou la vie de personnes.
2 ter. Tout profilage qui, intentionnellement ou non, a pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, le genre ou l'orientation sexuelle, ou qui, intentionnellement ou non, se traduit par des mesures produisant un tel effet, est interdit dans tous les cas. [Am. 71]
Article 9 bis
Principes généraux pour les droits de la personne concernée
1. Les États membres veillent à ce que le fondement de la protection des données soit clair et prévoie des droits univoques pour les personnes concernées, qui doivent être respectés par le responsable du traitement. Les dispositions de la présente directive visent à renforcer, à clarifier, à garantir et, le cas échéant, à codifier ces droits.
2. Les États membres veillent à ce que ces droits incluent, entre autres, la fourniture d'informations claires et facilement intelligibles sur le traitement des données à caractère personnel de la personne concernée, sur le droit d'accès, de rectification et d'effacement de ses données, le droit d'obtenir des données, le droit d'introduire une réclamation auprès de l'autorité chargée de la protection des données compétente et le droit d'ester en justice, ainsi que le droit à réparation et à des dommages-intérêts pour une opération de traitement illicite. Ces droits sont en général exercés gratuitement. Le responsable du traitement répond aux demandes des personnes concernées dans un délai raisonnable. [Am. 72]
CHAPITRE III
DROITS DE LA PERSONNE CONCERNÉE
Article 10
Modalités de l'exercice des droits de la personne concernée
1. Les États membres prévoient que le responsable du traitement prend toutes les mesures raisonnables afin d'appliquer dispose de règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel, et en vue de l’exercice de leurs droits par les personnes concernées.
2. Les États membres prévoient que le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant.
3. Les États membres prévoient que le responsable du traitement prend toutes établit les mesures nécessaires afin d'établir les procédures pour la communication des informations visées à l’article 11 et les procédures pour l'exercice des droits des personnes concernées visés aux articles 12 à 17. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement fournit les moyens d'effectuer des demandes par voie électronique.
4. Les États membres prévoient que le responsable du traitement informe, sans retard injustifié, tarder la personne concernée des suites données à sa demande et, au plus tard, dans un délai d'un mois à compter de la réception de la demande. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique.
5. Les États membres prévoient que les informations et les éventuelles mesures prises par le responsable du traitement à la suite d'une demande visée aux paragraphes 3 et 4 sont gratuites. Lorsque les demandes sont abusives manifestement excessives, notamment en raison de leur caractère répétitif, ou de la longueur ou du volume de la demande, le responsable du traitement peut exiger le paiement de frais raisonnables, qui tiennent compte des coûts administratifs, pour fournir les informations ou pour prendre la mesure demandée, ou peut s'abstenir de prendre cette dernière les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère abusif manifestement excessif de la demande.
5 bis. Les États membres peuvent prévoir que la personne concernée peut faire valoir ses droits directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle nationale compétente. Lorsque l'autorité de contrôle a agi à la demande de la personne concernée, elle informe cette dernière des vérifications effectuées. [Am. 73]
Article 11
Informations à la personne concernée
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, les États membres veillent à ce que le responsable du traitement prenne les mesures appropriées pour fournir fournisse à cette personne au moins les informations suivantes:
a) l'identité et les coordonnées du responsable du traitement et du délégué à la protection des données;
b) la base juridique et les finalités du traitement auquel les données à caractère personnel sont destinées;
c) la durée pendant laquelle les données à caractère personnel seront conservées;
d) l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, leur rectification, leur effacement ou la limitation de leur traitement;
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle prévue à l'article 39, et les coordonnées de ladite autorité;
f) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d'organisations internationales, et qui sont autorisés à accéder à ces données au titre de la législation dudit pays tiers ou des dispositions de ladite organisation internationale, l'existence ou l'absence d'une décision relative au caractère adéquat du niveau de protection rendue par la Commission ou, en cas de transferts visés à l'article 35 ou 36, les moyens d'obtenir une copie des garanties appropriées utilisées pour le transfert;
f bis) lorsque le responsable du traitement traite des données à caractère personnel décrites à l'article 9, paragraphe 1, les informations sur l'existence d'un traitement pour une mesure du type visé à l'article 9, paragraphe 1, et les effets voulus de ce traitement à l’égard de la personne concernée, des informations sur la logique sous-tendant le profilage et le droit d'obtenir une évaluation humaine;
f ter) les informations concernant des mesures de sécurité prises dans le but de protéger les données à caractère personnel;
g) toute autre information, dans la mesure où elle est nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont traitées.
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.
3. Le responsable du traitement fournit les informations visées au paragraphe 1:
a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont traitées.
4. Les États membres peuvent adopter des mesures législatives prévoyant de retarder ou de limiter la fourniture des informations, ou leur non-fourniture, aux personnes concernées,dans un cas spécifique, dans la mesure où, et aussi longtemps que, cette limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée:
(a) pour éviter de gêner des des recherches, des enquêtes ou des procédures officielles ou judiciaires;
(b) pour éviter de nuire à la prévention ou à la détection d’infractions pénales, ou aux enquêtes ou auxpoursuites en la matière, ou pour exécuter des sanctions pénales;
(c) pour protéger la sécurité publique;
(d) pour protéger la sûreté de l’État;
(e) pour protéger les droits et libertés d'autrui.
5. Les États membres prévoient que le responsable du traitement évalue, dans chaque cas, si une limitation partielle ou complète s'applique pour l'une des raisons énoncées au paragraphe 4, en procédant à un examen concret et individuel. Les États membres peuvent également déterminer, par voie législative, des catégories de traitements de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au aux points a), b), c) et d), du paragraphe 4. [Am. 74]
Article 12
Droit d'accès de la personne concernée
1. Les États membres prévoient le droit pour la personne concernée d'obtenir confirmation du responsable du traitement que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit, si elles ne l'ont pas déjà été, les informations suivantes:
—a) l'indication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données et, le cas échéant, des informations intelligibles sur la logique associée à tout traitement automatisé;
-a bis) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 9;
a) les finalités du traitement ainsi que son fondement juridique;
b) les catégories de données à caractère personnel concernées;
c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires établis dans des pays tiers;
d) la durée pendant laquelle les données à caractère personnel seront conservées;
e) l’existence du droit de demander au responsable du traitement la rectification ou l'effacement des données à caractère personnel relatives à la personne concernée, ou la limitation de leur traitement ;
f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;
g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données.
2. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement une copie des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. [Am. 75]
Article 13
Limitations du droit d’accès
1. Les États membres peuvent adopter des mesures législatives limitant, en fonction du cas spécifique, entièrement ou partiellement, le droit d'accès de la personne concernée, dans la mesure où et pour le temps pendant lequel une telle limitation partielle ou complète constitue une mesure strictement nécessaire et proportionnée dans une société démocratique, compte étant dûment tenu des droits fondamentaux et des intérêts légitimes de la personne concernée:
(a) pour éviter de gêner des des recherches, des enquêtes ou des procédures officielles ou judiciaires;
(b) pour éviter de nuire à la prévention ou à la détection d’infractions pénales, ou aux enquêtes ou aux poursuites en la matière, ou pour exécuter des sanctions pénales;
(c) pour protéger la sécurité publique;
(d) pour protéger la sûreté de l’État;
(e) pour protéger les droits et libertés d'autrui.
2. Les États membres prévoient que le responsable du traitement évalue, dans chaque cas, si une limitation partielle ou complète s'applique pour l'une des raisons énoncées au paragraphe 1, en procédant à un examen concret et individuel. Ils peuvent également déterminer, par voie législative, déterminer des catégories de traitement de données susceptibles de faire l'objet, dans leur intégralité ou en partie, des dérogations prévues au aux points a) à d), du paragraphe 1.
3. Dans les situations prévues aux paragraphes 1 et 2, les États membres prévoient qu'en cas de refus ou de limitation de l'accès aux données, le responsable du traitement informe la personne concernée, par écrit et sans retard injustifié, de la justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. Les motifs de fait ou de droit qui fondent la décision peuvent être omis lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 1.
4. Les États membres veillent à ce que le responsable du traitement conserve une trace documentaire de l'évaluation visée au paragraphe 2 ainsi que des raisons pour lesquelles il a omis de communiquer les limité la communication des motifs de fait ou de droit fondant la décision. Ces informations sont mises à la disposition des autorités de contrôle nationales. [Am. 76]
Article 14
Modalités de l'exercice du droit d’accès
1. Les États membres prévoient le droit pour la personne concernée de demander, à tout moment, notamment dans les cas mentionnés à l'article aux articles 12 et 13, que l'autorité de contrôle vérifie la licéité du traitement.
2. L'État membre prévoitLes États membres prévoient que le responsable du traitement informe la personne concernée de son droit de demander l'intervention de l'autorité de contrôle en vertu du paragraphe 1.
3. Lorsque le droit mentionné au paragraphe 1 est exercé, l'autorité de contrôle informe la personne concernée, à tout le moins, de la réalisation de toutes les vérifications nécessaires incombant à l'autorité de contrôle, et du résultat concernant la licéité du traitement en question. L'autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel.
3 bis. Les États membres peuvent prévoir que la personne concernée peut faire valoir ce droit directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle nationale compétente.
3 ter. Les États membres veillent à ce que le responsable du traitement dispose de délais raisonnables pour répondre aux demandes des personnes concernées au sujet de l'exercice de leur droit d'accès. [Am. 77]
Article 15
Droit à rectification et droit de compléter
1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement la rectification des que les données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d’obtenir, notamment au moyen d'une déclaration rectificative, que les données à caractère personnel ou incomplètes soient rectifiées ou complétées, notamment au moyen d'une déclaration rectificative ou complémentaire.
2. Les États membres prévoient qu'en cas de refus de rectification rectifier ou de compléter des données, le responsable du traitement informe la personne concernée, par écrit, avec une justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. [Am. 78]
2 bis. Les États membres prévoient que le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification effectuée, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné.
2 ter. Les États membres prévoient que le responsable du traitement communique la rectification des données à caractère personnel inexactes au tiers duquel proviennent les données à caractère personnel inexactes.
2 quater. Les États membres prévoient que la personne concernée peut faire valoir ce droit également par l'intermédiaire de l'autorité de contrôle nationale compétente. [Am. 78]
Article 16
Droit à l'effacement
1. Les États membres prévoient le droit pour la personne concernée d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant lorsque le traitement n'est pas conforme aux dispositions adoptées en vertu desarticles 4, points a) à e), 6, 7 et 8 de la présente directive.
2. Le responsable du traitement procède à l'effacement sans délai. Le responsable du traitement cesse également de diffuser ces données.
3. Au lieu de procéder à l'effacement, le responsable du traitement marque les limite le traitement de données à caractère personnel:
(a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données, lorsque cette dernière est contestée par la personne concernée;
(b) lorsque les données à caractère personnel doivent être conservées à des fins probatoires; ou pour la protection d'intérêts vitaux de la personne concernée ou d'une autre personne.
(c) lorsque la personne concernée s'oppose à leur effacement et exige, à la place de cela, la limitation de leur utilisation.
3 bis. Lorsque le traitement des données à caractère personnel est limité en vertu du paragraphe 3, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.
4. Les États membres prévoient que qu'en cas de refus d'effacer des données ou de limitation de leur traitement, le responsable du traitement informe la personne concernée, par écrit, de tout refus d'effacer ou de marquer les données traitées, avec une justification motivée, des motifs du refus, et des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.
4 bis. Les États membres prévoient que le responsable du traitement notifie aux destinataires auxquels ces données ont été transmises tout effacement réalisé ou toute limitation décidée en vertu du paragraphe 1, à moins qu'une telle communication ne se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de l'existence de ces tiers.
4 ter. Les États membres peuvent prévoir que la personne concernée peut faire valoir ce droit directement à l'encontre du responsable du traitement ou par l'intermédiaire de l'autorité de contrôle nationale compétente. [Am. 79]
Article 17
Droits des personnes concernées lors des enquêtes et des procédures pénales
Les États membres peuvent prévoir que, lorsque les données à caractère personnel figurent dans une décision judiciaire ou un casier judiciaire faisant l'objet d'un traitement lors d'une enquête judiciaire ou d'une procédure pénale, les droits d'information, d'accès, de rectification, d'effacement et de limitation du traitement prévus aux articles 11 à 16 sont exercés conformément aux règles nationales de procédure pénale.
CHAPITRE IV
RESPONSABLE DU TRAITEMENT ET SOUS‑TRAITANT
SECTION 1
OBLIGATIONS GÉNÉRALES
Article 18
Obligations incombant au responsable du traitement
1. Les États membres prévoient que le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être en mesure de démontrer, de manière transparente, pour chaque opération de traitement, que le traitement des données à caractère personnel est effectué dans le respect des dispositions adoptées en vertu de la présente directive, tant au moment de la définition des moyens du traitement qu'au moment du traitement proprement dit.
2. Les mesures visées au paragraphe 1 portent notamment sur:
a) la tenue de la documentation visée à l'article 23;
a bis) la réalisation d'une analyse d'impact relative à la protection des données en application de l'article 25 bis;
b) le respect de l'obligation de consultation préalable prévue à l'article 26;
c) la mise en œuvre des exigences en matière de sécurité des données prévues à l’article 27;
d) la désignation d'un délégué à la protection des données en application de l’article 30 ;
d bis) l'élaboration et la mise en œuvre de garanties spécifiques destinées au traitement de données à caractère personnel relatives aux enfants, lorsque cela se révèle pertinent.
3. Le responsable du traitement met en œuvre des mécanismes pour vérifier le caractère adéquat et l’efficacité des mesures visées au paragraphe 1 du présent article. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. [Am. 80]
Article 19
Protection des données dès la conception et protection des données par défaut
1. Les États membres prévoient que, compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des coûts liés à leur mise en œuvre risques que présente le traitement des données, le responsable du traitement applique et, le cas échéant, le sous-traitant appliquent, tant lors de la définition des finalités et moyens du traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées et proportionnées de manière à ce que le traitement réponde aux exigences des dispositions adoptées en vertu de la présente directive et garantisse la protection des droits de la personne concernée, en particulier eu égard aux principes prévus à l'article 4. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement; elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Lorsque le responsable du traitement a procédé à une analyse d'impact relative à la protection des données en vertu de l'article 25 bis, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures.
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir s'assure que, par défaut, seules sont traitées les données à caractère personnel nécessaires aux finalités à chaque finalité spécifique du traitement seront traitées, ces données n'étant, en particulier, pas collectées, conservées ou diffusées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel. [Am. 81]
Article 20
Responsables conjoints du traitement
1. Les États membres prévoient que, lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord juridiquement contraignant, leurs obligations respectives afin de se conformer aux dispositions adoptées en vertu de la présente directive, notamment en ce qui concerne les procédures et mécanismes régissant l'exercice des droits de la personne concernée.
2. À moins que la personne concernée ne sache, pour en avoir été informée, lequel des responsables conjoints du traitement est responsable en vertu du paragraphe 1, elle peut exercer ses droits au titre de la présente directive à l'égard et à l'encontre de chacun des responsables conjoints du traitement, au nombre de deux ou plus. [Am. 82]
Article 21
Sous‑traitant
1. Les États membres prévoient que le responsable du traitement, lorsqu'un traitement est effectué pour son compte, doit choisir choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences des dispositions adoptées en vertu de la présente directive et garantisse la protection des droits de la personne concernée, en particulier en ce qui concerne les mesures de sécurité technique et les mesures organisationnelles régissant le traitement à effectuer, et veille au respect de ces mesures.
2. Les États membres prévoient que la réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous‑traitant n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit.:
a) n'agit que sur instruction du responsable du traitement;
b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;
c) prend toutes les mesures nécessaires en vertu de l'article 27;
d) n'engage un autre sous-traitant que moyennant l'autorisation du responsable du traitement et informe donc ce dernier en temps utile de son intention d'engager un autre sous-traitant de manière à donner au responsable du traitement la possibilité de s'y opposer;
e) dans la mesure du possible compte tenu de la nature du traitement, adopte, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 25 bis à 29;
g) renvoie tous les résultats au responsable du traitement à l'issue du traitement et ne traite pas les données à caractère personnel d'une autre manière et détruit les copies existantes à moins que le droit de l'Union ou des États membres ne requière leur stockage;
h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article;
i) tient compte du principe de protection des données dès la conception et par défaut.
2 bis. Le responsable du traitement et le sous-traitant conservent une trace documentaire écrite des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.
3. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous‑traitant est considéré comme un responsable du traitement à l’égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 20. [Am. 83]
Article 22
Traitements effectués sous l'autorité du responsable du traitement et du sous‑traitant
1. Les États membres prévoient que le sous‑traitant, ainsi que toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, ou s'il y est obligé par le droit de l'Union ou d'un État membre.
1 bis. Lorsque le sous-traitant joue ou commence à jouer un rôle déterminant en ce qui concerne la finalité, les moyens ou les méthodes de traitement des données, ou lorsqu'il n'agit pas exclusivement sur instruction du responsable du traitement, il est considéré comme un responsable conjoint du traitement, conformément à l'article 20. [Am. 84]
Article 23
Documentation
1. Les États membres prévoient que chaque responsable du traitement et chaque sous‑traitant conservent une trace documentaire de tous les systèmes et procédures de traitement sous leur responsabilité.
2. La documentation constituée comporte au moins les informations suivantes:
a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous‑traitant;
a bis) un accord juridiquement contraignant, en cas de responsables conjoints du traitement; une liste des sous-traitants et des activités faisant l’objet de sous-traitance;
b) les finalités du traitement;
b bis) l'indication des services de l'organisation du responsable du traitement ou du sous-traitant chargés du traitement de données à caractère personnel pour une finalité spécifique;
b ter) une description de la catégorie ou des catégories de personnes concernées et des données ou catégories de données à caractère personnel s'y rapportant;
c) les destinataires ou les catégories de destinataires des données à caractère personnel;
c bis) le cas échéant, des informations sur l'existence d'un profilage, de mesures fondées sur le profilage, et de mécanismes d'opposition au profilage;
c ter) des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé;
d) les transferts de données vers un pays tiers ou à une organisation internationale, y compris leur identification respective. et les motifs juridiques fondant le transfert de données; une explication substantielle est requise lorsque le transfert se fonde sur l’article 35 ou 36 de la présente directive;
d bis) les dates limites pour l'effacement des différentes catégories de données;
d ter) les résultats des contrôles des mesures prévues à l'article 18, paragraphe 1;
d quater) une indication de la base juridique de l'opération de traitement à laquelle les données sont destinées.
3. Le responsable du traitement et le sous‑traitant mettent toute la documentation à la disposition de l'autorité de contrôle, à la demande de celle‑ci. [Am. 85]
Article 24
Établissement de relevés des opérations de traitement
1. Les États membres veillent à ce que des relevés soient établis au moins pour les opérations de traitement suivantes: la collecte, l'altération, la consultation, la communication, l'interconnexion ou l'effacement. Les relevés des opérations de consultation et de communication indiquent en particulier la finalité, la date et l'heure de celles-ci et, dans la mesure du possible, l'identification de la personne qui a consulté ou communiqué les données à caractère personnel, ainsi que l'identité des destinataires de ces données.
2. Les relevés sont utilisés uniquement à des fins de vérification de la licéité du traitement des données, d’autocontrôle et de garantie de l’intégrité et de la sécurité des données, ou à des fins d'audit, que ce soit par le délégué à la protection des données, ou par l'autorité chargée de la protection des données.
2 bis. Le responsable du traitement et le sous-traitant mettent les relevés à la disposition de l'autorité de contrôle, à la demande de celle-ci. [Am. 86]
Article 25
Coopération avec l'autorité de contrôle
1. Les États membres prévoient que le responsable du traitement et le sous-traitant coopèrent, sur demande, avec l’autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment toutes les informations dont elle a besoin à cet effet. visées à l'article 46, paragraphe 2, point a), et en autorisant l'accès, conformément à l'article 46, paragraphe 2, point b).
2. Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 46, paragraphe 1, points a) et b), le responsable du traitement et le sous‑traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle-ci. La réponse comprend une description des mesures prises et des résultats obtenus, en réponse aux observations formulées par l'autorité de contrôle. [Am. 87]
Article 25 bis
Analyse d'impact relative à la protection des données
1. Les États membres prévoient que le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectue une analyse de l'impact des procédures et systèmes de traitement envisagés sur la protection des données à caractère personnel, lorsque les traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, et ce avant l'introduction des nouveaux traitements ou dans les meilleurs délais si les traitements existent déjà.
2. En particulier, les traitements suivants sont susceptibles de présenter les risques particuliers visés au paragraphe 1:
a) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales;
b) le traitement de catégories particulières de données à caractère personnel visées à l'article 8, de données à caractère personnel relatives aux enfants et de données biométriques et de localisation aux fins de la prévention et de la détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales;
c) l'évaluation des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, le comportement de cette personne physique, qui est fondée sur un traitement automatisé et qui est susceptible d'aboutir à des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;
d) la surveillance de zones accessibles au public, en particulier lorsque sont utilisés des dispositifs optoélectroniques (vidéosurveillance); ou
e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application de l'article 26, paragraphe 1.
3. L'évaluation contient au minimum:
a) une description systématique des traitements envisagés;
b) une évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités fixées;
c) une évaluation des risques que le traitement présente pour les droits et les libertés des personnes concernées et les mesures envisagées pour pallier ces risques et limiter le volume de données à caractère personnel traité;
d) les mesures de sécurité et les mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec les dispositions adoptées en vertu de la présente directive, en tenant compte des droits et intérêts légitimes des personnes concernées et des autres personnes touchées;
e) une indication générale des délais impartis pour l'effacement des différentes catégories de données;
f) le cas échéant, une liste des transferts de données prévus vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 36, paragraphe 2, les documents attestant l'existence de garanties appropriées.
4. Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact.
5. Les États membres prévoient que le responsable du traitement consulte le public sur le traitement envisagé, sans préjudice de la protection de l'intérêt public ou de la sécurité des traitements.
6. Sans préjudice de la protection de l'intérêt public ou de la sécurité des traitements, l'évaluation est rendue facilement accessible au public.
7. La Commission est habilitée à adopter, après avoir pris l'avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 56, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l'analyse prévue au paragraphe 3, y compris les conditions de modulation, de vérification et d'audit. [Am. 88]
Article 26
Consultation préalable de l'autorité de contrôle
1. Les États membres veillent à ce que le responsable du traitement ou le sous‑traitant consulte l'autorité de contrôle avant le traitement de données à caractère personnel qui feront partie d’un nouveau fichier à créer, si afin de garantir la conformité du traitement prévu avec les dispositions adoptées en vertu de la présente directive et, notamment, d'atténuer les risques pour les personnes concernées:
a) le traitement vise des catégories particulières de données mentionnées à l’article 8;lorsqu'une analyse d'impact relative à la protection desdonnées telle que prévue à l'article 25 bis indique que les traitements sont, du fait de leur nature, de leur portée et/ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou
b) en raison notamment de l’utilisation de nouveaux mécanismes, technologies ou procédures, le type de traitement présente des risques spécifiques pour les libertés et droits fondamentaux, notamment la protection des données à caractère personnel, des personnes concernées.lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements précis susceptibles de présenterdes risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités.
1 bis. Lorsque l'autorité de contrôle détermine, conformément aux pouvoirs dont elle est investie, que le traitement prévu n'est pas conforme aux dispositions adoptées en vertu de la présente directive, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.
2. Les États membres peuvent prévoir prévoient que l'autorité de contrôle établit, après avoir consulté le comité européen de la protection des données, établit une liste des traitements devant faire l'objet d'une consultation préalable conformément au paragraphe 1, point b).
2 bis. Les États membres prévoient que le responsable du traitement ou le sous-traitant fournit à l'autorité de contrôle l'analyse d'impact relative à la protection des données conformément à l'article 25 bis et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.
2 ter. Si l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme aux dispositions adoptées en vertu de la présente directive, ou que les risques ne sont pas suffisamment identifiés ou atténués, elle formule des propositions appropriées afin de remédier à cette non-conformité.
2 quater. Les États membres peuvent consulter l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définit la nature du traitement, en vue d'assurer la conformité du traitement prévu avec la présente directive et, en particulier, d'atténuer les risques pour les personnes concernées. [Am. 89]
SECTION 2
SÉCURITÉ DES DONNÉES
Article 27
Sécurité des traitements
1. Les États membres prévoient que le responsable du traitement et le sous‑traitant mettent en œuvre les mesures et les procédures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.
2. En ce qui concerne le traitement automatisé de données, chaque État membre prévoit que le responsable du traitement ou le sous‑traitant met en œuvre, à la suite d'une évaluation des risques, des mesures destinées à:
(a) empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données à caractère personnel (contrôle de l’accès aux installations);
(b) empêcher que des supports de données ne puissent être lus, copiés, modifiés ou enlevés par une personne non autorisée (contrôle des supports de données);
(c) empêcher l’introduction non autorisée de données dans le fichier, ainsi que toute inspection, modification ou effacement non autorisé de données à caractère personnel enregistrées (contrôle du stockage);
(d) empêcher que les systèmes de traitement automatisé de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données (contrôle des utilisateurs);
(e) garantir que les personnes autorisées à utiliser un système de traitement automatisé de données ne puissent accéder qu’aux données sur lesquelles porte leur autorisation (contrôle de l’accès aux données);
(f) garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données (contrôle de la transmission);
(g) garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l’introduction);
(h) empêcher que, lors de la transmission de données à caractère personnel ainsi que lors du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport);
(i) garantir que les systèmes installés puissent être rétablis en cas d’interruption (restauration);
(j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).
j bis) veiller à ce que, s'agissant de données à caractère personnel sensibles conformément à l'article 8, des mesures de sécurité supplémentaires soient en place afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, face aux faiblesses et incidents décelés qui pourraient présenter un risque pour les données.
2 bis. Les États membres prévoient que les sous-traitants ne soient nommés que s'ils garantissent d’être en mesure de respecter les mesures techniques et organisationnelles requises en vertu du paragraphe 1 et de se conformer aux instructions visées à l'article 21, paragraphe 2, point a). L'autorité compétente contrôle le sous-traitant sur ces aspects.
3. La Commission peut adopter, si nécessaire, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, et notamment les normes de cryptage. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen prévue à l'article 57, paragraphe 2. [Am. 90]
Article 28
Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. Les États membres prévoient qu'en cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsque la notification a lieu après ce délai. En cas de retard, le responsable du traitement fournit une justification motivée à l'autorité de contrôle, sur demande.
2. Le sous‑traitant alerte et informe le responsable du traitement immédiatement après avoir eu connaissance de la violation de données à caractère personnel sans retard injustifié après la constatation d’une telle violation.
3. La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;
b) communiquer l’identité et les coordonnées du délégué à la protection des données visé à l'article 30 ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;
d) décrire les conséquences éventuelles de la violation de données à caractère personnel;
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets.
Au cas où toutes les informations ne pourraient pas être fournies sans retard injustifié, le responsable du traitement peut compléter la notification lors d'une deuxième phase.
4. Les États membres prévoient que le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin.
4 bis. L'autorité de contrôle tient un registre public des types de violations notifiées.
5. La Commission est habilitée à adopter, après avoir demandé l'avis du comité européen de la protectiondes données, des actes délégués en conformité avec l’article 56, aux fins de préciser davantage les critères et exigences applicables à la constatation de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés en conformité avec la procédure d'examen prévue à l'article 57, paragraphe 2. [Am. 91]
Article 29
Communication à la personne concernée d'une violation de données à caractère personnel
1. Les États membres prévoient que, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou, à la vie privée de la personne concernée ou aux droits ou intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 28, communique la violation sans retard injustifié à la personne concernée.
2. La communication à la personne concernée prévue au paragraphe 1 est exhaustive et utilise des termes clairs et simples. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 28, paragraphe 3, points b) et, c) et d), ainsi que des informations relatives aux droits des personnes concernées, y compris le droit de recours.
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données à caractère personnel concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
3 bis. Sans préjudice de l'obligation du responsable du traitement de notifier à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.
4. La communication à la personne concernée peut être retardée, ou limitée ou omise pour les motifs visés à l'article 11, paragraphe 4. [Am. 92]
SECTION 3
DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Article 30
Désignation du délégué à la protection des données
1. Les États membres prévoient que le responsable du traitement ou le sous-traitant désigne un délégué à la protection des données.
2. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 32. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.
2 bis. Les États membres prévoient que le responsable du traitement ou le sous-traitant veille à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflits d'intérêts.
2 ter. Le délégué à la protection des données est nommé pour une période d'au moins quatre ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.
2 quater. Les États membres prévoient que les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant.
3. Le délégué à la protection des données peut être désigné pour plusieurs entités, compte tenu de la structure organisationnelle de l'autorité compétente.
3 bis. Les États membres prévoient que le responsable du traitement ou le sous-traitant communique le nom et les coordonnées du délégué à la protection des données à l'autorité de contrôle et au public. [Am. 93]
Article 31
Fonction du délégué à la protection des données
1. Les États membres prévoient que le responsable du traitement ou le sous-traitant veille à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
2. Le responsable du traitement ou le sous-traitant veille à ce que le délégué à la protection des données soit doté des moyens d'accomplir les missions et obligations visées à l'article 32 de manière effective et en toute indépendance, et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction.
2 bis. Le responsable du traitement ou le sous-traitant aide le délégué à la protection des données à exercer ses missions et fournit tous les moyens, y compris le personnel, les locaux, les équipements, la formation professionnelle continue et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 32 et à l'entretien de ses connaissances professionnelles. [Am. 94]
Article 32
Missions du délégué à la protection des données
Les États membres prévoient que le responsable du traitement ou le sous-traitant confie au délégué à la protection des données au moins les missions suivantes:
(a) sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en application des dispositions adoptées en vertu de la présente directive, en particulier en ce qui concerne les mesureset procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues;
(b) contrôler la mise en œuvre et l'application des règles internes en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;
(c) contrôler la mise en œuvre et l'application des dispositions adoptées en vertu de la présente directive, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre des dispositions adoptées en vertu de la présente directive;
(d) veiller à ce que la documentation visée à l’article 23 soit tenue à jour;
(e) contrôler la documentation, la notification et la communication, prévues aux articles 28 et 29, relatives aux violations de données à caractère personnel;
(f) vérifier l'application de l'analyse d'impact relative à la protection des données par le responsable du traitement ou le sous-traitant, et que les demandes de consultation préalables ont été introduites, si celles‑ci elles sont requises au titre de l'article 26, paragraphe 1;
(g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;
h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative. [Am. 95]
CHAPITRE V
TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES
Article 33
Principes généraux applicables aux transferts de données à caractère personnel
1. Les États membres prévoient qu'un transfert, par des autorités compétentes, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après leur transfert vers un pays tiers ou à une organisation internationale, y compris un transfert ultérieur vers un autre pays tiers ou une autre organisation internationale, ne peut avoir lieu que si:
a) le transfert spécifique est nécessaire à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales; et
a bis) les données sont transférées à un responsable du traitement dans un pays tiers ou à une organisation internationale qui est une autorité publique compétente aux fins visées à l'article 1er, paragraphe 1; et
a ter) les conditions visées au présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel d'un pays tiers ou d'une organisation internationale vers un autre pays tiers ou une autre organisation internationale; et
b) les conditions énoncées dans le présent chapitre autres dispositions adoptées en vertu de la présente directive sont respectées par le responsable du traitement et le sous-traitant ; et
b bis) il n'est pas porté atteinte au niveau de protection des données à caractère personnel garanti dans l'Union par la présente directive; et
b ter) la Commission a décidé, en vertu des conditions et procédures visées à l'article 34, que le pays tiers ou l'organisation internationale en question offrent un niveau de protection adéquat; ou
b quater) des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant, comme indiqué à l'article 35.
2. Les États membres prévoient qu'un transfert ultérieur visé au paragraphe 1 du présent article ne peut avoir lieu que si, outre les conditions fixées audit paragraphe:
a) le transfert ultérieur est nécessaire pour la même finalité spécifique que le transfert initial; et
b) l'autorité compétente qui a effectué le transfert initial autorise le transfert ultérieur. [Am. 96]
Article 34
Transferts assortis d'une décision constatant le caractère adéquat du niveau de protection
1. Les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision, conformément à l'article 41 du règlement (UE) …./2012 ou conformément au paragraphe 3 du présent article, que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation d'autorisation spécifique.
2. Lorsqu'il n'existe aucune décision adoptée en vertu de l'article 41 du règlement (UE) …./2012, la CommissionLorsqu'elle apprécie le caractère adéquat du niveau de protection en prenant, la Commission prend en considération les éléments suivants:
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sûreté de l’État et le droit pénal, ainsi que la mise en œuvre du présent acte législatif et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question; les précédents de la jurisprudence ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;
b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, dotées de pouvoirs de sanctions suffisants, d’assister et de conseiller la personne concernée dans l'exercice de ses droits et de coopérer avec les autorités de contrôle de l'Union et des États membres; et
c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant relatifs à la protection des données à caractère personnel.
3. La Commission peut est habilitée à adopter, après avoir demandé l'avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 56 afin de constater par voie de décision, dans les limites de la présente directive, qu’un pays tiers, un territoire ou un secteur de traitement de données dans cele pays tiers en question ou une organisation internationale assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2.
4. L'acte d'exécution délégué précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).
4 bis. La Commission suit, de manière permanente, les événements susceptibles de porter atteinte au respect des éléments visés au paragraphe 2 dans les pays tiers et dans les organisations internationales par rapport auxquels un acte délégué a été adopté en vertu du paragraphe 3.
5. La Commission peut est habilitée à adopter des actes délégués en conformité avec l'article 56 afin de constater par voie de décision, dans les limites de la présente directive, qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif pour les personnes concernées, notamment celles dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 57, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 57, paragraphe 3.
6. Les États membres veillent à ce que, lorsque la Commission adopte une décision en vertu du paragraphe 5, selon laquelle tout transfert de données à caractère personnel vers le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question soit interdit, cette décision soit sans préjudice des transferts effectués au titre de l'article 35, paragraphe 1, ou conformément à l'article 36. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.
7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers, et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.
8. La Commission contrôle l'application des actes d'exécution délégués visés aux paragraphes 3 et 5. [Am. 97]
Article 35
Transferts moyennant des garanties appropriées
1. Lorsque la Commission n'a pas adopté de décision en vertu de l’article 34, les États membres prévoient ou lorsqu'elle constate par voie de décision qu'un pays tiers, un territoire d'un pays tiers ou une organisation internationale n'assure pas un niveau adéquat de protection conformément à l'article 34, paragraphe 5, le transfert de données à caractère personnel vers un pays tiers, un territoire d'un pays tiers ou à une organisation internationale ne peut avoir lieu n'est possible que si: le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.
a) des garanties appropriées en ce qui concerne la protection des données à caractère personnel ont été offertes dans un instrument juridiquement contraignant; ou
b) le responsable du traitement ou le sous-traitant a évalué toutes les circonstances entourant le transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.
2. La décision de transfert au titre du paragraphe 1, point b), doit être prise par un personnel dûment habilité. Tout transfert de ce type doit faire l'objet d'une documentation, qui doit être mise à la disposition de autorisé par l'autorité de contrôle, sur demande avant d'avoir lieu. [Am. 98]
Article 36
Dérogations
1. Si la Commission constate par voie de décision, conformément à l'article 34, paragraphe 5, l'absence d'un niveau de protection adéquat, le transfert de données à caractère personnel vers le pays tiers concerné, ou à l'organisation internationale concernée, ne peut pas être effectué, pour autant que, dans le cas d'espèce, les intérêts légitimes de la personne concernée à ce que ce transfert n’ait pas lieu l'emportent sur l'intérêt public particulier que présente le transfert de ces données.
2. Par dérogation aux articles 34 et 35, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si:
a) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne; ou
b) le transfert est nécessaire à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l'État membre transférant les données à caractère personnel le prévoit; ou
c) le transfert de données est essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un État membre ou d’un pays tiers; ou
d) le transfert est nécessaire dans des cas particuliers à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales; ou
e) le transfert est nécessaire, dans des cas particuliers, à la constatation, à l'exercice ou à la défense d'un droit en justice en rapport avec la prévention et la détection des infractions pénales, des enquêtes et des poursuites en la matière, ou l’exécution de sanctions pénales;
2 bis. Tout traitement se fondant sur le paragraphe 2 doit avoir une base juridique dans le droit de l'Union ou le droit de l'État membre dont est ressortissant le responsable du traitement; cet acte législatif doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueux du contenu essentiel du droit à la protection des données à caractère personnel et proportionné à l'objectif légitime poursuivi.
2 ter. Tous les transferts de données à caractère personnel qui ont été décidés sur la base de dérogations sont dûment justifiés et limités au strict nécessaire, étant entendu que les transferts de données massifs et fréquents ne sont pas autorisés.
2 quater. La décision de transfert au titre du paragraphe 2 doit être prise par un personnel dûment habilité. Ces transferts doivent être documentés et la documentation doit être mise à la disposition de l'autorité de contrôle à la demande de celle-ci, et indiquer la date et l'heure du transfert, donner des informations sur l'autorité destinataire, indiquer la justification du transfert et les données transférées. [Am. 99]
Article 37
Conditions spécifiques applicables au transfert de données à caractère personnel
Les États membres prévoient que le responsable du traitement informe le destinataire des données à caractère personnel de toute limitation du traitement et qu'il prend toutes les mesures raisonnables afin de garantir que ces limitations soient respectées. Le responsable du traitement notifie également au destinataire des données à caractère personnel toute mise à jour, rectification ou effacement des données qui aurait été effectué, à charge pour le destinataire de procéder à la même notification en cas de transfert ultérieur des données. [Am. 100]
Article 38
Coopération internationale dans le domaine de la protection des données à caractère personnel
1. La Commission et les États membres prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:
(a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter garantir l’application de la législation relative à la protection des données à caractère personnel; [Am. 101]
(b) se prêter mutuellement assistance sur le plan international dans la mise en application de la législation relative à la protection des données à caractère personnel, notamment par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et pour d'autres libertés et droits fondamentaux;
(c) associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans l’application de la législation relative à la protection des données à caractère personnel;
(d) favoriser l'échange et la conservation de la législation et des pratiques en matière de protection des données à caractère personnel.
d bis) clarifier les conflits juridictionnels avec les pays tiers et se consulter à ce sujet. [Am. 102]
2. Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 34, paragraphe 3.
Article 38 bis
Rapport de la Commission
La Commission présente périodiquement un rapport sur l'application des articles 33 à 38 au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, qui doivent fournir ces informations sans délai injustifié. Le rapport est rendu public. [Am. 103]
CHAPITRE VI
AUTORITÉS DE CONTRÔLE INDÉPENDANTES
SECTION 1
STATUT D'INDÉPENDANCE
Article 39
Autorité de contrôle
1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application des dispositions adoptées en vertu de la présente directive et de contribuer à son application cohérente dans l’ensemble de l'Union, afin de protéger les libertés et droits fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission.
2. Les États membres peuvent prévoir que l'autorité de contrôle qu'ils instituent conformément au règlement (UE) n° …/2014 prend en charge les fonctions de l'autorité de contrôle devant être instituée conformément au paragraphe 1 du présent article.
3. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui sert de point de contact unique permettant une participation efficace de ces autorités au comité européen de la protection des données.
Article 40
Indépendance
1. Les États membres veillent à ce que l'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés, nonobstant les modalités de coopération au titre du chapitre VII de la présente directive. [Am. 104]
2. Chaque État membre prévoit que les membres de l'autorité de contrôle, dans l'accomplissement de leur mission, ne sollicitent ni n'acceptent d'instructions de quiconque, et maintiennent une indépendance et une impartialité totales. [Am. 105]
3. Les membres de l’autorité de contrôle s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.
4. Après la cessation de leurs fonctions, les membres de l'autorité de contrôle sont tenus de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.
5. Chaque État membre veille à ce que l’autorité de contrôle dispose des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données.
6. Chaque État membre veille à ce que l'autorité de contrôle dispose obligatoirement de son propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.
7. Les États membres veillent à ce que l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que l’autorité de contrôle dispose de budgets annuels propres. Les budgets sont rendus publics.
Article 41
Conditions générales applicables aux membres de l'autorité de contrôle
1. Chaque État membre prévoit que les membres de l’autorité de contrôle doivent être nommés soit par son parlement, soit par son gouvernement.
2. Les membres sont choisis parmi les personnes offrant toutes garanties d'indépendance et qui possèdent une expérience et une compétence notoires pour l'accomplissement de leurs fonctions.
3. Les fonctions des membres prennent fin à l'échéance de leur mandat, en cas de démission ou de mise à la retraite d'office conformément au paragraphe 5.
4. Un membre peut être déclaré démissionnaire ou déchu du droit à pension ou d'autres avantages en tenant lieu par la juridiction nationale compétente, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.
5. Un membre dont le mandat expire ou qui démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau membre.
Article 42
Règles relatives à l'établissement de l'autorité de contrôle
Chaque État membre prévoit par voie législative:
a) l'établissement et le statut d'indépendance de l’autorité de contrôle conformément aux articles 39 et 40;
b) les qualifications, l'expérience et les compétences requises pour exercer les fonctions de membre de l'autorité de contrôle;
c) les règles et les procédures pour la nomination des membres de l'autorité de contrôle, ainsi que les règles relatives aux activités ou emplois incompatibles avec leurs fonctions;
d) la durée du mandat des membres de l’autorité de contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier mandat après l'entrée en vigueur de la présente directive, qui peut être d'une durée plus courte;
e) le caractère renouvelable ou non renouvelable du mandat des membres de l'autorité de contrôle;
f) le statut et les conditions communes régissant les fonctions des membres et agents de l’autorité de contrôle;
g) les règles et les procédures relatives à la cessation des fonctions des membres de l’autorité de contrôle, y compris lorsqu'ils ne remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou s'ils ont commis une faute grave.
Article 43
Secret professionnel
Les États membres prévoient que membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, et exécutent leurs tâches en toute indépendance et transparence, comme en dispose la présente directive. [Am. 106]
SECTION 2
FONCTIONS ET POUVOIRS
Article 44
Compétence
1. Les États membres prévoient que chaque autorité de contrôle exerce est compétente pour exécuter ses tâches et pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément à la présente directive. [Am. 107]
2. Les États membres prévoient que l'autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leurs fonctions juridictionnelles.
Article 45
Fonctions
1. Les États membres prévoient que l'autorité de contrôle:
(a) contrôle et assure l'application des dispositions adoptées conformément à la présente directive et de ses mesures d'exécution;
(b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant et dûment mandatée par elle conformément à l'article 50, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment lorsqu'un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;
(c) vérifie la licéité du traitement de données en vertu de l'article 14, et informe la personne concernée dans un délai raisonnable de l'issue de la vérification ou des motifs ayant empêché sa réalisation;
(d) fournit une assistance mutuelle à d'autres autorités de contrôle et veille à la cohérence de l’application des dispositions adoptées conformément à la présente directive et des mesures prises pour en assurer le respect;
(e) effectue des enquêtes, des inspections et des audits, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle a saisi l'autorité de contrôle d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;
(f) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications;
(g) est consultée par les institutions et organes de l’État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;
(h) est consultée sur les traitements conformément à l'article 26;
(i) participe aux activités du comité européen de la protection des données..
2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.
3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant de la présente directive et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.
4. Pour les réclamations visées au paragraphe 1, point b), l’autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.
5. Les États membres prévoient que l'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.
6. Lorsque les demandes sont abusives manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou raisonnables. Ces frais ne dépassent pas prendre les mesures sollicitées par la personne concernée les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère abusif manifestement excessif de la demande. [Am. 108]
Article 46
Pouvoirs
1. Les États membres prévoient que chaque autorité de contrôle doit notamment être est dotée des pouvoirs suivants:
a) des pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle; informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée;
b) de pouvoirs effectifs d’intervention, tels que celui de rendre des avis préalablement à la mise en œuvre des traitements et d’assurer une publication appropriée de ces avis, d’ordonner la limitation, l’effacement ou la destruction de données, d’interdire temporairement ou définitivement un traitement, d’adresser un avertissement ou une admonestation au responsable du traitement ou de saisir les parlements nationaux ou d’autres institutions politiques;ordonner au responsable du traitement de satisfaire aux demandes émanant de la personne concernée relatives à l’exercice des droits que lui confère la présente directive, y compris ceux visés aux articles 12 à 17 lorsque ces demandes ont été rejetées en violation de ces dispositions;
c) le pouvoir d’ester en justice en cas de violation des dispositions nationales adoptées en application de la présente directive ou le pouvoir de porter cette violation à la connaissance de l’autorité judiciaire.ordonner au responsable du traitement ou au sous-traitant de fournir des informations conformément à l'article 10, paragraphes 1 et 2, et aux articles 11, 28 et 29;
d) veiller au respect des avis sur les consultations préalables visées à l'article 26;
e) adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;
f) ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions adoptées en vertu de la présente directive et la notification de ces mesures aux tiers auxquels les données ont été communiquées;
g) interdire temporairement ou définitivement un traitement;
h) suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;
i) informer les parlements nationaux, le gouvernement ou d'autres institutions publiques ainsi que le public de cette question.
2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant:
a) l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions de contrôle;
b) l'accès à tous ses locaux, et notamment à toute installation ou à tout moyen de traitement des données, conformément au droit national, s'il existe un motif raisonnable de supposer qu'il s'y exerce une activité contraire aux dispositions adoptées en vertu de la présente directive, sans préjudice d'une autorisation judiciaire si le droit national l'exige.
3. Sans préjudice de l'article 43, les États membres prévoient qu'aucune obligation supplémentaire de secret professionnel n'est invoquée face à la demande des autorités de contrôle.
4. Les États membres peuvent prévoir que des contrôles de sécurité supplémentaires conformes au droit national sont requis pour accéder à des informations classées à un niveau similaire à CONFIDENTIEL UE ou plus élevé. Si aucun autre contrôle de sécurité n'est requis au titre du droit de l'État membre dont relève l'autorité de contrôle concernée, ce fait doit être reconnu par tous les autres États membres.
5. Chaque autorité de contrôle a le pouvoir d'avertir les autorités judiciaires de toute violation des dispositions adoptées en vertu de la présente directive, d'ester en justice et de saisir la juridiction compétente conformément à l'article 53, paragraphe 2.
6. Chaque autorité de contrôle a le pouvoir d'imposer des sanctions par rapport à des infractions administratives. [Am. 109]
Article 46 bis
Signalement des violations
1. Les États membres prévoient que les autorités de contrôle tiennent compte des orientations fournies par le comité européen de la protection des données conformément à l'article 66, paragraphe 4 ter, du règlement (UE) n° .../2014 et mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des violations de la présente directive.
2. Les États membres prévoient que les autorités compétentes mettent en place des mécanismes efficaces pour encourager le signalement confidentiel des violations de la présente directive. [Am. 110]
Article 47
Rapport d'activité
Les États membres prévoient que chaque autorité de contrôle établit un rapport annuel sur son activité au moins tous les deux ans. Le rapport est mis à la disposition du public, du parlement concerné, de la Commission et du comité européen de la protection des données. Il contient des informations sur la mesure dans laquelle les autorités compétentes dans leur ressort ont eu, à des fins d'enquête et de poursuites concernant des infractions pénales, accès à des données détenues par des tiers privés. [Am. 111]
CHAPITRE VII
COOPÉRATION
Article 48
Assistance mutuelle
1. Les États membres prévoient que les autorités de contrôle se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer de manière cohérente les dispositions adoptées en vertu de la présente directive, et qu'elles mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes de consultation préalable, d'inspection et d'enquête.
2. Les États membres prévoient qu'une autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d’une autre autorité de contrôle. Il peut s'agir, notamment, de la transmission d'informations utiles ou de mesures répressives visant à faire cesser ou à interdire les traitements contraires à la présente directive sans tarder et au plus tard un mois après réception de la demande.
2 bis. La demande d'assistance contient toutes les informations nécessaires, notamment la finalité et les motivations de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.
2 ter. Une autorité de contrôle saisie d'une demande d'assistance ne peut refuser de lui donner suite, à moins:
a) qu'elle ne soit pas compétente pour la traiter; ou
b) qu'il soit incompatible avec les dispositions de la présente directive de donner suite à la demande.
3. L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande de l’autorité de contrôle requérante.
3 bis. Les autorités de contrôle communiquent, par des moyens électroniques et dans les plus brefs délais, au moyen d'un format standard, les informations demandées par d'autres autorités de contrôle.
3 ter. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais. [Am. 112]
Article 48 bis
Opérations conjointes
1. Les États membres prévoient que pour intensifier la coopération et l'assistance mutuelle, les autorités de contrôle peuvent mettre en œuvre des mesures répressives conjointes et d'autres opérations conjointes auxquelles participent des membres ou des agents des autorités de contrôle d'autres États membres, désignés par celles-ci, pour les opérations se déroulant sur le territoire d'un État membre.
2. Les États membres prévoient que dans les cas où des personnes concernées dans un autre ou plusieurs autres États membres sont susceptibles de faire l'objet de traitements, l'autorité de contrôle compétente peut être invitée à participer aux opérations conjointes. L'autorité de contrôle compétente peut inviter l'autorité de contrôle de chacun de ces États membres à prendre part à l'opération en cause et, dans le cas où elle y est invitée, donner suite sans délai à toute demande d'une autorité de contrôle souhaitant participer aux opérations.
3. Les États membres définissent les modalités pratiques des actions de coopération particulières. [Am. 113]
Article 49
Missions du comité européen de la protection des données
1. Le comité européen de la protection des données institué par le règlement (UE) …./20122014 accomplit les missions suivantes en ce qui concerne les activités de traitement relevant du champ d'application de la présente directive:
(a) conseiller la Commission les institutions de l'Union sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification de la présente directive;
(b) examiner, à la demande de la Commission, du Parlement européen ou du Conseil ou de sa propre initiative ou à l'initiative de l'un de ses membres, toute question portant sur l'application des dispositions adoptées en vertu de la présente directive, et émettre des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente desdites dispositions, y compris concernant l'utilisation des pouvoirs d'exécution;
(c) faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et faire régulièrement rapport à la Commission sur ces mesures;
(d) communiquer à la Commission un avis sur le niveau de protection assuré dans des pays tiers ou des organisations internationales;
(e) promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination des opérations conjointes et d'autres activités conjointes lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle;
(f) promouvoir l'élaboration de programmes de formation conjoints et faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;
(g) promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation, notamment sur la législation et les pratiques en matière de protection des données;
g bis) donner son avis à la Commission sur l'élaboration d'actes délégués et d'actes d'exécution au titre de la présente directive.
2. Lorsque le Parlement européen, le Conseil ou la Commission consulte consultent le comité européen de la protection des données, elle peut ils peuvent fixer un délai dans lequel il doit lui leur fournir les conseils demandés, selon l'urgence de la question.
3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 57, et il les rend publics.
4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques émises par ledit comité. [Am. 114]
CHAPITRE VIII
RECOURS, RESPONSABILITÉ ET SANCTIONS
Article 50
Droit d'introduire une réclamation auprès d'une autorité de contrôle
1. Sans préjudice de tout autre recours administratif ou judiciaire, les États membres prévoient que toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant ne respecte pas les dispositions adoptées en vertu de la présente directive.
2. Les États membres prévoient que tout organisme, organisation ou association qui agit dans l'intérêt général et qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel et qui est a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu de la présente droits ont été violés à la suite du traitement de données à caractère personnel. L'organisation ou l'association doivent être dûment mandatées par la ou les personne(s) concernée(s). [Am. 115]
3. Les États membres prévoient que tout organisme, organisation ou association visé au paragraphe 2 a le droit, indépendamment d'une réclamation introduite par une personne concernée, de saisir une autorité de contrôle d'une réclamation dans tout État membre s'il considère qu'il y a eu violation de données à caractère personnel.
Article 51
Droit à un recours juridictionnel contre une autorité de contrôle
1. Les États membres prévoient que toute personne physique ou morale a le droit à de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.
2. Les États membres prévoient que toute personne concernée a le droit de former un recours juridictionnel en vue d'obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 45, paragraphe 1, point b).
3. Les États membres prévoient que les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.
3 bis. Les États membres veillent à ce que les décisions définitives des juridictions visées au présent article soient exécutées. [Am. 116]
Article 52
Droit à un recours juridictionnel contre un responsable du traitement ou un sous‑traitant
1. Les États membres prévoient que, sans préjudice de tout recours administratif qui lui est ouvert, notamment le droit de saisir une autorité de contrôle d'une réclamation, toute personne physique dispose d'un recours juridictionnel si elle considère qu'il a été porté atteinte aux droits prévus dans les dispositions adoptées en vertu de la présente directive, à la suite du traitement de données à caractère personnel la concernant, effectué en violation desdites dispositions.
1 bis. Les États membres veillent à ce que les décisions définitives des juridictions visées au présent article soient exécutées. [Am. 117]
Article 53
Règles communes pour les procédures juridictionnelles
1. Les États membres prévoient que tout organisme, organisation ou association visé à l’article 50, paragraphe 2, est habilité à exercer les droits prévus aux articles 51, et 52 au nom d’une ou deet 54 lorsqu'il est mandaté par une ou plusieurs personnes concernées. [Am. 118]
2. Les États membres prévoient que chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions adoptées en vertu de la présente directive ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l’Union. [Am. 119]
3. Les États membres veillent à ce que les voies de recours disponibles dans le droit national permettent l'adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés.
Article 54
Responsabilité et droit à réparation
1. Les États membres prévoient que toute personne ayant subi un dommage, y compris un dommage non pécuniaire, du fait d'un traitement illicite ou de toute action incompatible avec les dispositions adoptées en vertu de la présente directive a le droit d'obtenird'exiger du responsable du traitement ou du sous‑traitant réparation du préjudice subi. [Am. 120]
2. Lorsque plusieurs responsables du traitement ou sous‑traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage.
3. Le responsable du traitement ou le sous‑traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.
Article 55
Sanctions
Les États membres déterminent le régime des sanctions applicables aux violations des dispositions adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour garantir leur application. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives.
Chapitre VIII bis
Transmission de données à caractère personnel à d’autres parties
Article 55 bis
Transmission de données à caractère personnel à d'autres autorités ou à des tiers privés dans l'Union
1. Les États membres veillent à ce que le responsable du traitement ne transmette pas ni ne charge le sous-traitant de transmettre des données à caractère personnel à une personne physique ou morale qui n’est pas soumise aux dispositions adoptées en vertu de la présente directive, à moins:
a) que cette transmission soit conforme au droit de l’Union ou des États membres; et
b) que le destinataire soit établi dans un État membre de l'Union européenne; et
c) qu'aucun des intérêts spécifiques légitimes de la personne concernée ne s'y oppose; et
d) que la transmission, dans un cas déterminé, soit nécessaire pour le responsable du traitement qui transmet les données à caractère personnel:
i) afin qu'il puisse remplir la mission qui lui est légalement confiée; ou
ii) pour prévenir un danger grave et immédiat pour la sécurité publique; ou
iii) pour prévenir une atteinte grave aux droits des personnes.
2. Le responsable du traitement informe le destinataire de la finalité du traitement dont peuvent exclusivement faire l'objet les données à caractère personnel.
3. Le responsable du traitement informe l'autorité de contrôle de ces transmissions.
4. Le responsable du traitement informe le destinataire des limitations de traitement et veille au respect de ces limitations. [Am. 121]
CHAPITRE IX
ACTES DÉLÉGUÉS ET ACTES D'EXÉCUTION
Article 56
Exercice de la délégation
1. Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.
2. La délégation deLe pouvoir visée d'adopter des actes délégués visé à l'article 25 bis, paragraphe 7, à l'article 28, paragraphe 5, et à l'article 34, paragraphes 3 et 5, est conféréeconféré à la Commission pour une durée indéterminée à compter de la date d’entrée en vigueur de la présente directive.
3. La délégation de pouvoir visée à l'article 25 bis, paragraphe 7, à l'article 28, paragraphe 5, et à l'article 34, paragraphes 3 et 5, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.
4. Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.
5. Un acte délégué adopté en vertu de l'article 25 bis, paragraphe 7, de l'article 28, paragraphe 5, et de l'article 34, paragraphes 3 et 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deuxsix mois à compter de la notification de cet acte au Parlement européen et au Conseil, ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux six mois à l'initiative du Parlement européen ou du Conseil. [Am. 122]
Article 56 bis
Délai pour l'adoption des actes délégués
La Commission adopte les actes délégués en vertu de l'article 25 bis, paragraphe 7, et de l'article 28, paragraphe 5, au plus tard le [six mois avant la date visée à l'article 62, paragraphe 1]. La Commission peut prolonger de six mois le délai visé au présent paragraphe. [Am. 123]
Article 57
Comité
1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.
2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.
3. Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) n° 182/2011 s’applique, en liaison avec son article 5.[Am. 124]
CHAPITRE X
DISPOSITIONS FINALES
Article 58
Abrogation
1. La décision‑cadre 2008/977/JAI est abrogée.
2. Les références faites à la décision‑cadre abrogée visée au paragraphe 1 s’entendent comme faites à la présente directive.
Article 59
Relation avec les actes de l'Union adoptés antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière
Les dispositions spécifiques à la protection des données à caractère personnel à l'égard du traitement de ces données par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, figurant dans des actes de l'Union adoptés avant la date d'adoption de la présente directive qui régissent le traitement des données à caractère personnel entre États membres et l'accès des autorités des États membres désignées aux systèmes d'information créés en vertu des traités relevant du champ d’application de la présente directive, demeurent inchangées.
Article 60
Relation avec les accords internationaux conclus antérieurement dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière
Les accords internationaux conclus par les États membres avant l'entrée en vigueur de la présente directive sont modifiés, en tant que de besoin, dans un délai de cinq ans après la date d’entrée en vigueur de la présente directive.
Article 61
Évaluation
1. La Commission, après avoir demandé l'avis du comité européen de la protection des données, évalue l'application et la mise en œuvre de la présente directive. Elle assure la coordination en coopération étroite avec les États membres et comprend les visites annoncées et non annoncées. Le Parlement européen et le Conseil sont tenus informés durant tout le processus et ont accès à tous les documents pertinents.
2. Dans un délai de trois deux ans après la date de l'entrée en vigueur de la présente directive, la Commission réexamine d'autres actes adoptés par l'Union européenne qui régissent le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, notamment les actes adoptés par l'Union qui sont mentionnés à l'article 59, afin d'apprécier la nécessité de les mettre en conformité avec la présente directive et de formuler, le cas échéant, les propositions nécessaires et présente des propositions appropriées en vue de modifier ces actes pour assurer une approche cohérente de la protection d'assurer la cohérence et l'homogénéité des règles juridiques relatives au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales relevant du champ d’application de la présente directive.
2 bis. La Commission présente, dans les deux ans à compter de la date d’entrée en vigueur de la présente directive, des propositions appropriées de révision du cadre juridique applicable au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, à des fins de prévention et de détection d’infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, en vue d'assurer la cohérence et l'homogénéité des règles juridiques relatives au droit fondamental à la protection des données à caractère personnel dans l'Union.
3. La Commission présente périodiquement des rapports sur l'évaluation et la révision de la présente directive au Parlement européen et au Conseil, conformément au paragraphe 1. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur de la présente directive. Les rapports suivants sont ensuite présentés tous les quatre ans. La Commission soumet, si nécessaire, des propositions appropriées en vue de modifier la présente directive et harmoniser d'autres instruments juridiques. Le rapport est rendu public. [Am. 125]
Article 62
Transposition
1. Les États membres adoptent et publient, au plus tard le ...(13), les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils notifient immédiatement à la Commission le texte de ces dispositions.
Ils appliquent lesdites dispositions à compter du ...*.
Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2. Les États membres communiquent à la Commission le texte des principales dispositions de droit interne qu’ils adoptent dans le domaine régi par la présente directive.
Article 63
Entrée en vigueur et application
La présente directive entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Article 64
Destinataires
Les États membres sont destinataires de la présente directive.
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60).
Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la mise en œuvre du ciel unique européen (refonte) (COM(2013)0410 – C7-0171/2013 – 2013/0186(COD))
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2013)0410),
– vu l'article 294, paragraphe 2, et l'article 100, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7‑0171/2013),
– vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,
– vu l'avis motivé soumis par la Chambre des représentants maltaise, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,
– vu l'avis du Comité économique et social européen du 11 décembre 2013(1),
– après consultation du Comité des régions,
– vu l'accord interinstitutionnel du 28 novembre 2001 pour un recours plus structuré à la technique de la refonte des actes juridiques(2),
– vu la lettre en date du 28 novembre 2013 de la commission des affaires juridiques adressée à la commission des transports et du tourisme conformément à l'article 87, paragraphe 3, de son règlement,
– vu les articles 87 et 55 de son règlement,
– vu le rapport de la commission des transports et du tourisme (A7‑0095/2014),
A. considérant que, de l'avis du groupe consultatif des services juridiques du Parlement européen, du Conseil et de la Commission, la proposition en question ne contient aucune modification de fond autre que celles identifiées comme telles dans la proposition et que, en ce qui concerne la codification des dispositions inchangées des actes précédents avec ces modifications, la proposition se limite à une codification pure et simple des actes existants, sans modification de leur substance;
1. arrête la position en première lecture figurant ci-après, en tenant compte des recommandations du groupe consultatif des services juridiques du Parlement européen, du Conseil et de la Commission;
2. demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.
Position du Parlement européen arrêtée en première lecture le 12 mars 2014 en vue de l’adoption du règlement (UE) n°.../2014 du Parlement européen et du Conseil relatif à la mise en œuvre du ciel unique européen (refonte)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 100, paragraphe 2,
vu la proposition de la Commission européenne,
après transmission du projet d'acte législatif aux parlements nationaux,
vu l'avis du Comité économique et social européen(3),
après consultation du Comité des régions,
statuant conformément à la procédure législative ordinaire(4),
considérant ce qui suit:
(1) Le règlement (CE) n° 549/2004 du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen («règlement-cadre»)(5), le règlement (CE) n° 550/2004 du 10 mars 2004 relatif à la fourniture de services de navigation aérienne dans le ciel unique européen («règlement sur la fourniture de services»)(6), le règlement (CE) n° 551/2004 du 10 mars 2004 relatif à l'organisation et à l'utilisation de l'espace aérien dans le ciel unique européen («règlement sur l'espace aérien»)(7) et le règlement (CE) n° 552/2004 du 10 mars 2004 concernant l'interopérabilité du réseau européen de gestion du trafic aérien («règlement sur l'interopérabilité»)(8) ont été modifiés de façon substantielle. À l’occasion de nouvelles modifications, il convient, dans un souci de clarté, de procéder à la refonte desdits règlements.
(2) La réalisation de la politique commune des transports exige un système de transport aérien performant qui permette le fonctionnement sûr et régulier des services de transport aérien et qui facilite donc la libre circulation des marchandises, des personnes et des services. [Am. 1]
(3) L’adoption par le Parlement européen et le Conseil du premier paquet législatif sur le ciel unique européen, à savoir du règlement (CE) n° 549/2004, du règlement (CE) n° 550/2004, du règlement (CE) n° 551/2004 et du règlement (CE) n° 552/2004, a établi une base juridique solide pour un système de gestion du trafic aérien (ci-après «GTA») sans discontinuité, interopérable et sûr. L'adoption du deuxième paquet législatif, à savoir du règlement (CE) n° 1070/2009, a renforcé l'initiative «ciel unique européen» en introduisant les concepts de système de performance et de gestionnaire de réseau afin d'améliorer encore les performances du système européen de gestion du trafic aérien.
(4) Aux termes de l'article 1er de la convention de Chicago de 1944 relative à l'aviation civile internationale, les États contractants reconnaissent que «chaque État a la souveraineté complète et exclusive sur l'espace aérien au-dessus de son territoire». C'est dans le cadre de cette souveraineté que les États membres de l'Union exercent, sous réserve des conventions internationales applicables, les prérogatives de puissance publique pour le contrôle de la navigation aérienne.
(5) La mise en œuvre de la politique commune des transports exige un système de transport aérien performant qui permette le fonctionnement sûr, régulier et durable des services de transport aérien, qui permette d’optimiser la capacité et qui facilite la libre circulation des marchandises, des personnes et des services.
(5 bis) Afin d'éviter que l'augmentation attendue du trafic aérien génère ou accentue la congestion de l'espace aérien européen, avec tous les coûts que cela implique en termes économiques, environnementaux et de sécurité, il convient de mettre fin à la fragmentation de cet espace aérien et ainsi de mettre en œuvre le présent règlement le plus rapidement possible. [Am. 2]
(5 ter) La mise en œuvre du ciel unique européen devrait avoir une incidence positive sur la croissance, l'emploi et la compétitivité en Europe, notamment en stimulant la demande d'emplois hautement qualifiés. [Am. 3]
(6) Aux fins de la réalisation simultanée des objectifs d’une amélioration des normes de sécurité de la gestion du trafic aérien et d’un accroissement des performances globales de la gestion du trafic aérien et des services de navigation aérienne pour la circulation aérienne générale en Europe, il convient de tenir compte du facteur humain. Dès lors, les États membres devraient envisageroutre la mise en place des principes de la «culture d'équité», des indicateurs de performance pertinents devraient être intégrés au système de performance du ciel unique européen. [Am. 4]
(7) Les États membres ont adopté une déclaration générale sur les questions militaires liées au ciel unique européen(9). Selon cette déclaration, les États membres devraient en particulier renforcer la coopération entre civils et militaires et, si et dans la mesure où tous les États membres concernés le jugent nécessaire, faciliter la coopération entre leurs forces armées sur toutes les questions ayant trait à la gestion du trafic aérien, de façon à parvenir à une plus grande souplesse dans l'utilisation de l'espace aérien. [Am. 5]
(8) Les décisions affectant le contenu, la portée ou les modalités des opérations et de l'entraînement militaires ne relèvent pas des compétences de l'Union au titre de l'article 100, paragraphe 2, du traité sur le fonctionnement de l'Union européenne.
(9) Les États membres ont réorganisé, à des degrés divers, le secteur des prestataires nationaux de services de navigation aérienne en accroissant leur niveau d'autonomie et de liberté de prestation de services. Garantir l'existence d'un marché commun qui fonctionne bien en ce qui concerne les services qui peuvent être fournis aux conditions du marché et le respect d'exigences minimales liées à l'intérêt général en ce qui concerne les services considérés comme des monopoles naturels compte tenu de l'état des technologies est une nécessité.
(10) Pour assurer une surveillance cohérente et, fiable et indépendante de la fourniture de services en Europe, il convient de garantir aux autorités aéronautiques nationales de surveillance assez d’indépendance et deles ressources nécessaires, tant sur le plan financier que sur le plan du personnel. Cette indépendance ne devrait pas empêcher lesdites autorités d’exercer leurs fonctions au sein d’un cadre administratif. [Am. 6]
(11) Les autorités aéronautiques nationales de surveillance ont un rôle clé à jouer dans la mise en œuvre du ciel unique européen, aussi la Commission devrait-elleetl'Agence européenne pour l'aviation (EAA)devraientpar conséquent faciliter la coopération entre ces autorités afin de leur permettre d’échanger leurs meilleures pratiques et d’élaborer une approche commune, y compris par la coopération renforcée à l’échelle régionale, en mettant à disposition une plateforme pour ces échanges. Cette coopération devrait intervenir régulièrement. [Am. 7]
(12) En vue de la mise en œuvre du ciel unique européen, les partenaires sociaux devraient être mieux informés et consultés sur toutes les mesures ayant des implications sociales importantes. À l’échelle de l'Union, le comité de dialogue sectoriel institué en vertu de la décision 98/500/CE de la Commission(10) devrait également être consulté. [Am. 8]
(13) La fourniture des services de communication, de navigation et de surveillance, ainsi que des services météorologiques, de conception de l'espace aérien et d'information météorologique et aéronautique, devrait, mais aussi des services de formatage et de fourniture de données pour la circulation aérienne générale,pourrait être organisée aux conditions du marché, tout en tenant comptecompte tenu des caractéristiques particulières de ces services et en maintenant, moyennant la garantie d'un un niveau élevé de sécurité et la réduction des répercussions sur le climat. [Am. 9]
(14) Il ne devrait pas y avoir de discrimination entre les usagers de l'espace aérien en ce qui concerne la fourniture de services de navigation aérienne équivalents.
(15) Le principe de projets communs destinés à aider les usagers de l’espace aérien et/ou les prestataires de services de navigation aérienne à améliorer les infrastructures collectives de navigation aérienne, les services de navigation aérienne et l’utilisation de l’espace aérien, en particulier lorsque cela peut être nécessaire à la mise en œuvre du plan directeur GTA approuvé par la décision 2009/320/CE(11) du Conseil, conformément à l'article 1er, paragraphe 2, du règlement (CE) n° 219/2007 du Conseil, ne devrait pas porter atteinte aux projets préexistants, ayant des objectifs comparables et décidés par un ou plusieurs États membres. Les dispositions relatives au financement du déploiement de projets communs ne devraient pas influer sur les modalités d’établissement de ces projets communs. La Commission peut proposer que des crédits tels que ceux du réseau transeuropéenmécanisme pour l'interconnexion en Europe, d'Horizon 2020 ou de la Banque européenne d’investissement soient utilisés en appui aux projets communs, notamment pour accélérer le déploiement du programme SESAR, dans le cadre financier pluriannuel. Sans préjudice du recours à ces crédits, les États membres devraient avoir la faculté de décider comment utiliser les recettes générées par la mise aux enchères de quotas du secteur de l’aviation au titre du système d’échange de droits d’émission et, dans ce contexte, d’envisager s’il convient d’utiliser une partie de ces recettes pour financer des projets communs au niveau des blocs d’espace aérien fonctionnels. Le cas échéant, des projets communs viseront à permettre l'existence d'un ensemble de capacités élémentaires interopérables dans l'ensemble des États membres. [Am. 10]
(15 bis) Si des mécanismes spécifiques ne sont pas mis en place, les projets d'investissements embarqués et au sol relatifs au plan directeur GTA pourraient bien se dérouler sans coordination, ce qui risquerait de retarder le déploiement efficace des technologies SESAR. [Am. 11]
(16) Le concept de gestionnaire de réseau joue un rôle essentiel dans l'amélioration des performances de gestion du trafic aérien à l'échelon du réseau, dans la mesure où il centralise la fourniture de certains services qui sont mieux assurés au niveau du réseau. Pour faciliter la gestion des crises dans le secteur de l'aviation, la coordination de ces crisesla coordinationdes mesures à adopter pour empêcher les crises et pour y faire face devrait être assurée par le gestionnaire de réseau. Dans ce contexte, il devrait incomber à la Commission de veiller à ce qu'aucun conflit d'intérêts n'apparaisse entre la fourniture de services centralisés et le rôle de l'organe d'évaluation des performances. [Am. 12]
(17) La Commission étantest convaincue que l'utilisation sûre et efficace de l'espace aérien ne peut être réalisée que par une coopération étroite entre les utilisateurs civils et militaires de cet espace, fondée pour l'essentiel sur le concept de l'utilisation flexiblesouple de l'espace aérien et une coordination efficace entre les autorités civiles et militaires telle qu'elle est prévue par l'OACI, elle insiste sur l'importance d'un renforcement de cette coopération pour parvenir à une plus grande souplesse dans l'utilisation de l'espace aérien. [Am. 13]
(18) La précision des informations sur l’état de l’espace aérien et sur des situations de trafic spécifiques, ainsi que la communication de ces informations en temps voulu aux contrôleurs civils et militaires, ont une incidence directe sur la sécurité et l’efficacité des opérations et devraient en améliorer la prévisibilité. L’accès en temps voulu aux informations actualisées sur l’état de l’espace aérien est essentiel pour toutes les parties concernées souhaitant tirer profit des structures d’espace aérien disponibles lorsqu’elles remplissent ou modifient leurs plans de vol. [Am. 14]
(19) La fourniture d’informations aéronautiques modernes, complètes, de haute qualité et disponibles en temps utile a une incidence significative sur la sécurité et sur la facilitation de l’accès à l’espace aérien de l'Union et la liberté de mouvement à l’intérieur de celui-ci. Compte tenu du plan directeur GTA, l'Union devrait prendre l’initiative de moderniser ce secteur en coopération avec le gestionnaire de réseau et faire en sorte que les usagers puissent consulter ces données par l’intermédiaire d’un point d’accès public unique fournissant des informations intégrées modernes, faciles à utiliser et validées.
(20) Pour tenir compte des modifications apportées aux règlements (CE) n° 1108/2009 et (CE) n° 1070/2009, il est nécessaire, conformément à l’article 65 bis du règlement (CE) n° 216/2008 du Parlement européen et du Conseil du 20 février 2008 concernant des règles communes dans le domaine de l'aviation civile et instituant une Agence européenne de la sécurité aérienne(12), d’harmoniser le contenu du présent règlement avec celui du règlement (CE) n° 216/2008.
(21) En outre, il y a lieu d'actualiser les modalités techniques des règlements (CE) n° 549/2004, (CE) n° 550/2004, (CE) n° 551/2004 et (CE) n° 552/2004, arrêtées en 2004 et 2009, et de procéder à des corrections techniques pour tenir compte des progrès accomplis.
(22) La portée géographique du présent règlement dans la région NAT de l’OACI devrait être modifiée en fonction des modalités d'organisation actuelles et futures de la fourniture de services et de la nécessité de garantir l'application cohérente des règles aux prestataires de services de navigation aérienne et aux usagers de l’espace aérien opérant dans cette zone. [Am. 15]
(23) Eu égard aux rôles qui lui sont dévolus en tant qu’organisation opérationnelle et à la poursuite de la réforme d’Eurocontrol, la fonction de gestionnaire de réseau devrait évoluer dans le sens d’un partenariat conduit par le secteur aéronautique.
(24) Le concept de blocs d’espace aérien fonctionnels, destiné à améliorer la coopération entre prestataires de services de la circulation aérienne, est un outil important pour améliorer les performances du système européen de gestion du trafic aérien. Pour renforcercompléter cet outil, il convient que les blocs d’espace aérien fonctionnels soient davantage axés sur les performances et fondés surde permettre aux prestataires de services de navigation aérienne de conclure librement des partenariats avec le secteur aéronautique, lequel devrait jouir d'une plus grande liberté pour les modifier afin d’atteindre et, si possible, de dépasser les objectifs de performancesectorielsaxés sur les performancessusceptibles de faire doublon avec les blocs d'espace aérien fonctionnels déjà établis. [Am. 16]
(25) Les blocs d’espace aérien fonctionnels devraient agir avec souplesse pour rassembler les prestataires de services dans toute l’Europe et valoriser leurs atouts respectifs. Cette souplesse devrait permettre la recherche de synergies entre les prestataires, indépendamment de leur situation géographique ou de leur nationalité, et l'émergence de modèles de prestation de services divers dictés par le souci d'amélioration des performances.
(26) Pour renforcer le souci du client chez les prestataires de services de navigation aérienne et offrir aux usagers de l’espace aérien une possibilité plus étendue d’influer sur les décisions qui les touchent, il convient d'assurer une consultation et une participation plus efficacesefficace des parties intéressées dans le cadre des grandes décisions opérationnelles des prestataires de services de navigation aérienne. [Am. 17]
(27) Le système de performance est un outil essentiel pour la régulation économique de la gestion du trafic aérien, et il convient de préserver, voire d'améliorer, la qualité et l’indépendance de ses décisions.
(28) Dans un souci d'adaptation à l’évolution technique ou opérationnelle, notamment par la modification des annexes ou l'ajout de nouvelles dispositions relatives à la gestion de réseau et, au système de performance, à la sélection de l'entité responsable de la mise en œuvre du plan directeur GTA (gestionnaire du déploiement) et à la définition des responsabilités de cette dernière, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission. Le contenu et l'étendue de chaque délégation sont détaillés dans les articles correspondants. Il est particulièrement important que la Commission procède aux consultations appropriées durant ses travaux préparatoires, y compris au niveau des experts. Lorsqu’elle prépare et élabore des actes délégués, il convient que la Commission transmette simultanément, en temps utile et de façon appropriée, les documents pertinents au Parlement européen et au Conseil. [Am. 18]
(29) Si des ajouts sont effectués dans la liste des services de gestion de réseau, la Commission devrait consulter dûment les acteurs concernés du secteur et les partenaires sociaux. [Am. 19]
(30) Pour garantir des conditions uniformes de mise en œuvre du présent règlement, notamment en ce qui concerne l’exercice des compétences dévolues aux autorités aéronautiques nationales de surveillance, la fourniture de services d’appui sur une base exclusive par un prestataire de services ou un groupement de prestataires de services, les mesures correctives destinées à garantir le respect des objectifs de performance au niveau de l’Union et des objectifs de performance correspondants à l'échelon local, le contrôle de conformité appliqué au système de redevances, la gouvernance et l’adoption de projets communs pour les fonctions liées au réseau, les blocs d’espace aérien fonctionnels, les modalités de participation des parties prenantes aux grandes décisions opérationnelles des prestataires de services de navigation aérienne, l’accès aux données et la protection des données, l’information aéronautique par voie électronique et le développement technologique et l’interopérabilité de la gestion du trafic aérien, il y a lieu de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(13). [Am. 20]
(31) Conformément au règlement (UE) n° 182/2011, en ce qui concerne les actes d'exécution adoptés en vertu du présent règlement, il y a lieu de recourir à la procédure d’examen pour l’adoption des actes d’exécution de portée générale.
(32) Il convient de recourir à la procédure consultative pour l’adoption d’actes d’exécution de portée individuelle.
(33) Les sanctions prévues en cas d'infraction au présent règlement devraient être efficaces, proportionnées et dissuasives, sans porter atteinte à la sécurité.
(34) Le cas échéant, la passation de marchés pour les services d'appui devrait être effectuée, selon le cas, conformément à la directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 relative à la coordination des procédures de passation des marchés publics de travaux, de fournitures et de services, de fournitures et de services(14) et à la directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés dans les secteurs de l'eau, de l'énergie, des transports et des services postaux(15). Il convient également de tenir compte, le cas échéant, des lignes directrices figurant dans la communication interprétative de la Commission relative au droit communautaire applicable aux passations de marchés non soumises ou partiellement soumises aux directives «marchés publics»(16). [Am. 21]
(35) La déclaration ministérielle concernant l’aéroport de Gibraltar, adoptée à Cordoue le 18 septembre 2006 (ci-après la «déclaration ministérielle») au cours de la première réunion ministérielle du forum de dialogue sur Gibraltar, remplacera laLe Royaume d'Espagne et le Royaume-Uni sont convenus à Londres, le 2 décembre 1987, par une déclaration conjointe sur des ministres des affaires étrangères de ces deux États, d'un régime favorisant une coopération accrue concernant l'utilisation de l’aéroport de Gibraltar faite à Londres le 2 décembre 1987, et le plein respect de la déclaration ministérielle sera censé équivaloir au respect de la déclaration de 1987. L'application de ce régime n'a toutefois pas encore commencé. [Am. 22]
(36) Le présent règlement s’applique pleinement à l’aéroport de Gibraltar, dans le contexte et en vertu de la déclaration ministérielle. Sans préjudice de la déclaration ministérielle, son application à l’aéroport de Gibraltar ainsi que l’ensemble des mesures liées à sa mise en œuvre sont pleinement conformes à ladite déclaration et à l’ensemble des dispositions qui y figurent. [Am. 23]
(37) Étant donné que l'objectif du présent règlement, à savoir la mise en œuvre du ciel unique européen, ne peut pas être réalisé de manière suffisante par les États membres en raison de la dimension transnationale de cette action et peut donc être mieux réalisé au niveau de l'Union, l'Union peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif,
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article 1
Objet et champ d'application
1. Le présent règlement fixe des règles pour la création et le bon fonctionnement du ciel unique européen afin de préserver les normes de sécurité actuelles de la circulation aérienne, de contribuer au développement durable du système de transport aérien, et notamment en réduisant les répercussions sur le climat, et d’améliorer les performances globales du système de gestion du trafic aérien et des services de navigation aérienne pour la circulation aérienne générale en Europe afin de répondre aux besoins de tous les usagers de l’espace aérien. Le ciel unique européen comporte un réseau paneuropéen cohérent de routes au niveau paneuropéenet, sur la base de modalités particulières convenues avec les pays voisins, dans des pays tiers, un espace aérien opérationnel intégré ainsi que des systèmes de gestion du réseau et du trafic aérien, fondés uniquement sur la sécurité, l’efficacité et l'interopérabilité, au profit de tous les usagers de l’espace aérien. [Am. 24]
2. L’application du présent règlement ne porte pas atteinte à la souveraineté des États membres sur leur espace aérien ni aux besoins des États membres en ce qui concerne les questions d’ordre public, de sécurité publique et de défense, visées à l’article 38. Le présent règlement ne s'applique pas aux opérations et à l’entraînement militaires.
3. L’application du présent règlement ne porte pas atteinte aux droits et aux devoirs des États membres découlant de la convention de Chicago de 1944 relative à l’aviation civile internationale (ci-après la «convention de Chicago»). Dans ce contexte, le présent règlement vise à aider les États membres, dans les limites de son champ d’application, à remplir leurs obligations au titre de la convention de Chicago, en jetant les bases d’une interprétation commune et d’une mise en œuvre uniforme des dispositions de cette dernière, et en garantissant que celles-ci sont dûment prises en compte dans le cadre du présent règlement et des règles arrêtées pour son exécution.
4. Le présent règlement s'applique à l'espace aérien situé à l'intérieur des régions EUR, et AFI et NAT de l'Organisation de l'aviation civile internationale (OACI) pour lequel les États membres assurent la prestation de services de circulation aérienne conformément au présent règlement. Les États membres peuvent aussi appliquer le présent règlement à l'espace aérien situé à l'intérieur d'autres régions de l'OACI et placé sous leur responsabilité, à condition qu'ils en informent la Commission et les autres États membres. [Am. 25]
5. L’application à l’aéroport de Gibraltar du présent règlement s’entend sans préjudice des positions juridiques respectives du Royaume d’Espagne et du Royaume-Uni de Grande-Bretagne et d’Irlande du Nord sur le conflit dedans la controverse concernant la souveraineté portant sur le territoire sur lequel cet aéroport est situé. [Am. 26]
5 bis. L'application du présent règlement à l'aéroport de Gibraltar est suspendue jusqu'à l'application du régime défini dans la déclaration conjointe des ministres des affaires étrangères du Royaume d'Espagne et du Royaume-Uni du 2 décembre 1987. À cet effet, les gouvernements du Royaume d'Espagne et du Royaume-Uni informeront le Conseil de la date à partir de laquelle il s'appliquera. [Am. 27]
Article 2
Définitions
Aux fins du présent règlement, on entend par:
1) «service du contrôle de la circulation aérienne»: un service assuré dans le but:
a) d'empêcher:
– les abordages entre aéronefs,
– les collisions, sur l'aire de manœuvre, entre les aéronefs et des obstacles; et
b) d'accélérer et de régulariser la circulation aérienne;
2) «service de contrôle d'aérodrome»: un service du contrôle de la circulation aérienne pour la circulation d'aérodrome;
3) «service d'information aéronautique»: un service établi pour fournir, dans une zone de couverture définie, les informations et les données aéronautiques nécessaires à la sécurité, à la régularité et à l'efficacité de la navigation aérienne;
4) «services de navigation aérienne»: les services de la circulation aérienne, les services de communication, de navigation et de surveillance, les services météorologiques destinés à la navigation aérienne et les services d'information aéronautique;
5) «prestataire de services de navigation aérienne»: toute entité publique ou privée fournissant des services de navigation aérienne pour la circulation aérienne générale;
6) «bloc d'espace aérien»: un espace aérien dont les dimensions sont définies, dans l'espace et dans le temps, à l'intérieur duquel sont fournis des services de navigation aérienne;
7) «gestion de l'espace aérien»: un service de planification dont l'objectif principal est de maximiser l'utilisation de l'espace aérien disponible grâce à un partage horaire dynamique de ce dernier et, par moments, à la ségrégation entre diverses catégories d'usagers de l'espace aérien en fonction de leurs besoins à court terme et d'une fonction stratégique associée à la conception de l'espace aérien; [Am. 28]
8) «usagers de l’espace aérien»: les exploitants d’aéronefs exploités selon les règles de la circulation aérienne générale;
9) «gestion des courants de trafic aérien»: un service mis en place dans le but de contribuer à un écoulement en toute sécurité, ordonné et rapide du trafic aérien en veillant à ce que la capacité de contrôle du trafic aérien soit utilisée au maximum et que le volume de trafic soit compatible avec les capacités déclarées par les prestataires de services de la circulation aérienne appropriés;
10) «gestion du trafic aérien» (GTA): le regroupement des services embarqués et au sol (services de circulation aérienne, gestion de l’espace aérien et gestion des courants de trafic aérien) requis pour assurer le mouvement sûr et efficace des aéronefs durant toutes les phases d'exploitation;
11) «services de la circulation aérienne»: selon le cas, les services d'information de vol, les services d'alerte, les services consultatifs de la circulation aérienne et les services du contrôle de la circulation aérienne (services de contrôle régional, services de contrôle d'approche et services de contrôle d'aérodrome);
12) «contrôle régional»: un service du contrôle de la circulation aérienne pour les aéronefs en vol contrôlé à l'intérieur d'un bloc d'espace aériendans une zone de contrôle; [Am. 29]
13) «contrôle d'approche»: un service du contrôle de la circulation aérienne pour les aéronefs en vol contrôlé à l'arrivée ou au départ;
14) «plan directeur GTA»: le plan approuvé par la décision 2009/320/CE du Conseil(17), conformément à l’article 1er, paragraphe 2, du règlement (CE) n° 219/2007 du Conseil du 27 février 2007 relatif à la constitution d’une entreprise commune pour la réalisation du système européen de nouvelle génération pour la gestion du trafic aérien (SESAR)(18);
15) «crise aérienne»: des circonstances dans lesquelles la capacité de l’espace aérien est anormalement réduite en raison de conditions météorologiques très défavorables ou de l’indisponibilité de grandes parties de l’espace aérien pour des raisons politiques ou naturelles, médicales, de sécurité, militaires ou politiques; [Am. 30]
16) «ensemble de services»: au moins deux services de navigation aériennefournis par la même entité; [Am. 31]
17) «certificat»: un document délivré par l'Agence européenne pour l'aviation (EAA)oupar une autorité aéronautique nationale de surveillance, sous quelque forme que ce soit, conformément au droit nationalapplicable, qui confirme qu’un prestataire de services de navigation aérienne répond aux conditions requises pour la fourniture d’un serviceexercer une activité spécifique; [Am. 32]
18) «services de communication»: services aéronautiques fixes et mobiles destinés à permettre les communications sol/sol, air/sol et air/air à des fins de contrôle de la circulation aérienne;
18 bis) "réseau européen de gestion du trafic aérien (EATMN)": un réseau paneuropéen de systèmes et de composants, ainsi que les feuilles de route pour les principaux changements opérationnels et technologiques décrits dans le plan directeur GTA, permettant de fournir des services de navigation aérienne pleinement interopérables dans l'Union, y compris les interfaces aux frontières avec les pays tiers, en vue de réaliser les objectifs de performance établis par le présent règlement; [Am. 33]
19) «composants»: les objets tangibles, tels que le matériel, et les objets intangibles, tels que les logiciels, dont dépend l'interopérabilité du réseau européen de gestion du trafic aérien (de l'EATMN); [Am. 34]
19 bis) "gestionnaire du déploiement": un groupe de parties prenantes opérationnelles, sélectionnées par la Commission au moyen d'un appel à propositions, qui est responsable de la gestion de la gouvernance régissant le déploiement du plan directeur GTA; [Am. 35]
20) «déclaration»: aux fins des GTA/SNA, toute déclaration écrite:
– relative à la conformité ou l’aptitude à l’emploi de systèmes et composants émise par un organisme exerçant des activités conception, de fabrication et d’entretien de systèmes et composants de GTA/SNA;
– relative au respect des exigences auxquelles doit satisfaire un service ou un système à mettre en place, émise par un prestataire de services;
– relative à la capacité et aux moyens d'assumer les responsabilités associées à certains services d’information de vol;
21) «gestion souple de l’espace aérien»: un concept de gestion de l’espace aérien appliqué dans la zone couverte par la conférence européenne de l’aviation civile sur la base du «Airspace Management Handbook for the application of the Concept of the Flexible Use of Airspace» publié par l'Organisation européenne pour la sécurité de la navigation aérienne (Eurocontrol) (19);
22) «service d’information de vol»: un service assuré dans le but de fournir les avis et les renseignements utiles à l’exécution sûre et efficace des vols;
23) «service d'alerte»: un service assuré dans le but d’alerter les organismes compétents lorsque des aéronefs ont besoin d’une aide en matière de recherche et de sauvetage et de prêter à ces organismes le concours nécessaire;
24) «bloc d’espace aérien fonctionnel»: un bloc d’espace aérien fondé sur des besoins opérationnels et défini indépendamment des frontières nationales, où la fourniture des services de navigation aérienne et des fonctions connexes est fondée sur la performance et optimisée en vue de la mise en place, au niveau de chaque bloc d’espace aérien fonctionnel,au moyen d’une coopération renforcée entre les prestataires de services de navigation aérienne ou, le cas échéant, d’un fournisseur intégré; [Am. 36]
25) «circulation aérienne générale»: tous les mouvements d'aéronefs civils ainsi que tous les mouvements d'aéronefs d'État (y compris les aéronefs militaires et ceux des services de douane et de police) lorsque ces mouvements se font conformément aux procédures de l'Organisation de l'aviation civile internationale (OACI), établie par la convention de Chicago de 1944 relative à l'aviation civile internationale;
25 bis) "facteur humain": les conditions sociales, culturelles et de travail du personnel dans le secteur de la gestion du trafic aérien; [Am. 37]
26) «interopérabilité»: un ensemble de propriétés fonctionnelles, techniques et opérationnelles que doivent posséder les systèmes et les composants du réseau européen de gestion du trafic aérien ainsi que les procédures relatives à son exploitation, afin d'assurer l'exploitation sûre, efficace et sans solution de continuité de ce réseau; l'interopérabilité est réalisée en mettant les systèmes et les composants en conformité avec les exigences essentielles;
27) «services météorologiques»: les installations et les services qui fournissent aux aéronefs des prévisions, des bulletins et des observations météorologiques ainsi que toute autre information ou donnée météorologique fournie par les États à des fins aéronautiques;
28) «services de navigation»: les installations et les services qui fournissent aux aéronefs des informations relatives au positionnement et au temps;
29) «données opérationnelles»: les informations relatives à toutes les phases d'un vol et qui sont nécessaires pour que les prestataires de services de navigation aérienne, les usagers de l'espace aérien, les exploitants d'aéroports et les autres acteurs concernés puissent prendre des décisions opérationnelles;
30) «mise en service»: la première mise en exploitation après une installation initiale ou une amélioration d'un système;
31) «réseau de routes»: un réseau de routes définies pour l'acheminement des courants de trafic aérien dans la mesure où l'exige la fourniture la plus efficace possible de services du contrôle de la circulation aérienne; [Am. 38]
32) «services de surveillance»: les installations et les services utilisés pour déterminer la position des aéronefs afin de permettre une séparation sûre;
33) «système»: les composants au sol et/ou embarqués, ainsi queet/ou les équipements spatiaux qui fournissent un appui aux services de navigation aérienne pour toutes les phases de vol; [Am. 39]
34) «amélioration»: toute modification qui change les caractéristiques opérationnelles d'un système;
35) «services transfrontaliers»: toute situation où des services de navigation aérienne sont fournis dans un État membre par un prestataire de services certifié dans un autre État membre;;
36) «autorité aéronautique nationale de surveillance»: l’un organisme national ou les organismes nationaux chargés chargé par un État membre des tâches de surveillance à assurer conformément auprévues dans le présent règlement et les autorités nationales compétentes chargées des tâches visées à l’article 8 ter du le règlement (CE) n° 216/2008 et agréé par l'EAA; [Am. 40]
37) «serviceservices d'appui»: les services decommunication, de navigation aérienne autres queet de surveillance (CNS), les services météorologiques (MET) et les services de la circulation aérienned'information aéronautique (SIA), ainsi que les autres services et activités qui sont liés et concourent à la fourniture de services de navigation aérienne; [Am. 41]
38) «objectifs de performance locaux»: les objectifs de performance fixés par les États membres au niveau local, c'est-à-dire au niveau des blocs d’espace aérien fonctionnels, au niveau national, au niveau des zones tarifaires ou au niveau des aéroports.
38 bis) "partenariat sectoriel": des accords de coopération relevant d'un contrat établi en vue d'améliorer la gestion du trafic aérien entre différents prestataires de services de navigation aérienne, y compris le gestionnaire de réseau, les usagers de l'espace aérien, les aéroports ou d'autres acteurs économiques comparables; [Am. 42]
38 ter) "espace aérien opérationnel intégré": l'espace aérien contrôlé de dimensions définies, englobant l'espace aérien des pays européens et, sur la base de modalités particulières, l'espace aérien de pays tiers voisins, où sont employés une structure d'attribution et un partage horaire dynamiques, des ressources de contrôle offrant une performance améliorée, des services de navigation aérienne pleinement interopérables et des solutions combinées, en vue de permettre une utilisation optimale, prévisible et sûre de l'espace aérien, avec pour objectif la réalisation du ciel unique européen; [Am. 43]
38 quater) "plans de performance locaux": les plans mis en place par une ou plusieurs autorités aéronautiques nationales au niveau local – celui du bloc d'espace aérien fonctionnel –, régional ou national; [Am. 44]
38 quinquies) "entité qualifiée": un organisme qui peut se voir attribuer des tâches spécifiques de certification ou de surveillance par l'EAA ou une autorité aéronautique nationale, et sous leur contrôle et leur responsabilité; [Am. 45]
CHAPITRE II
Autorités nationales
Article 3
Autorités aéronautiques nationales de surveillance [Am. 46]
1. Les États membres désignent ou instituent, conjointement ou individuellement, un ou plusieurs organismesorganisme faisant fonction d’autorité aéronautique nationale de surveillance chargée d’assumer les tâches qui lui sont assignées au titre du présent règlement et du règlement (CE) n° 216/2008. [Am. 47]
2. Les autorités nationales de surveillance sont juridiquement distinctes et indépendantes, notamment sur les plans organisationnel, hiérarchique et décisionnel, de tout prestataire de services de navigation aérienne ou – et dotées de leur budget annuel –,de toute entreprise, de toute organisation, de toute entité privée ou publique et de tout personnel relevant du domaine d'activité de l'autorité conformément à l'article 1er du règlement (CE) n° 216/2008 ou possédant un intérêt dans les activités de ces prestatairesentités. [Am. 48]
3. Sans préjudice du paragraphe 2, les autorités aéronautiques nationales de surveillance peuvent s'unir sur le plan organisationnel à d’autres organismes de contrôle et/ou autorités de sécurité. [Am. 49]
4. Les autorités aéronautiques nationales de surveillance qui ne sont pas juridiquement distinctes de tout prestataire de services de navigation aérienne ou de toute entité privée ou publique possédant un intérêt dans les activités de ces prestataires, au sens du paragraphe 2, veillent à ce que les dispositionsdu présent articlesoient respectées à la date d’entrée en vigueur du présent règlement doivent satisfaire à cette exigence au plus tard le 1er janvier 2020 2017. [Am. 50]
5. Les autorités aéronautiques nationales de surveillance exercent leurs compétences de manière impartiale, indépendante et transparente. Elles sont notamment organisées, pourvues en personnel, gérées et financées de manière à leur permettre d'exercer leurs compétences de cette manière. [Am. 51]
6. Le personnel des autorités aéronautiques nationales de surveillance: [Am. 52]
a) est recruté en vertu de règles claires et transparenteset de critères clairs et transparents qui garantissent son indépendance et, en ce qui concerne les personnes chargées des décisions stratégiques, nommé par le conseil des ministres ou une autre autorité publique qui n'exerce pas de contrôle direct sur les prestataires de services de navigation aérienne et ne tire pas profit de leurs activités; [Am. 53]
b) est sélectionné selon une procédure transparente sur la base de ses qualifications particulières, comprenant des compétences suffisantes et une expérience utile, entre autres, dans le domaine de l'audit et des services et systèmes de navigation aérienne; [Am. 54]
b bis) n'est pas détaché par des prestataires de services de navigation aérienne (PSNA), ni par des entreprises placées sous le contrôle de prestataires de ce type; [Am. 55]
c) agit en toute indépendance, notamment à l'égard de tout intérêt lié à des prestataires de services de navigation aérienne, et ne sollicite ni n'accepte d’instructions d’aucun gouvernement ouni d'aucune autre entité publique ou privée dans l’exécution des tâches incombant à l’autorité aéronautique nationale de surveillance, sans préjudice de la coopération étroite avec d'autres autorités nationales compétentes; [Am. 56]
d) en ce qui concerne les personnes chargées des décisions stratégiques, effectue une déclaration annuelle d'engagement et d'intérêt indiquant tout intérêt direct ou indirect qui pourrait être considéré comme préjudiciable à son indépendance et qui pourrait influer sur l'exercice de ses fonctions; et
e) en ce qui concerne les personnes qui ont été chargées des décisions stratégiques, des audits ou d'autres fonctions directement liées à la supervision ou aux objectifs de performance des prestataires de services de navigation aérienne pendant plus de six mois, n'occupe de poste ou n'exerce de responsabilités professionnelles auprès d'aucun des prestataires de services de navigation aérienne après la cessation de ses fonctions au sein de l’autorité nationale de surveillance, pendant une période:[Am. 57]
i) d’au moins un an. 12 mois pour le personnel occupant des fonctions d'encadrement; [Am. 58]
ii) d'au moins six mois pour le personnel n'occupant pas de fonctions d'encadrement. [Am. 59]
e bis) les membres de la direction de l'autorité sont nommés pour une durée déterminée comprise entre trois et sept ans, renouvelable une fois, et ne peuvent être relevés de leurs fonctions en cours de mandat que s'ils ne satisfont plus aux conditions énoncées au présent article ou s'ils ont commis une faute au regard du droit national. [Am. 60]
7. Les États membres veillent à ce que les autorités aéronautiques nationales de surveillance disposent des ressources et des capacités nécessaires pour effectuer les tâches qui leur sont assignées au titre du présent règlement de manière efficace et dans les délais prévus. Les autorités aéronautiques nationales de surveillance ont pleine autorité sur le recrutement et la gestion de leur personnel sur la base de leurs crédits propres, qui proviennent notamment des redevances de route à fixer proportionnellement aux tâches à exécuter par l'autorité conformément à l'article 4. [Am. 61]
8. Les États membres notifient à la Commission le nom et l’adresse des autorités aéronautiques nationales de surveillance et les changements apportés à ces données, ainsi que les mesures prises pour assurer le respect du présent article. [Am. 62]
9. La Commission fixe les modalités des procédures de recrutement et de sélection aux fins de l’application des paragraphes du paragraphe 6, points a) et b). Ces actes d’exécution sont adoptés conformément à la procédure d’examen visée à l’article 27, paragraphe 3, et précisent: [Am. 63]
a) le degré de séparation, imposé par l'autorité investie du pouvoir de nomination, de toute entreprise, organisation, entité publique ou privée et de tout personnel relevant du domaine d'activité de l'autorité conformément à l'article 1er du règlement (CE) n° 216/2008 ou possédant un intérêt dans les activités de ces entités, en vue de concilier la nécessité d'éviter les conflits d'intérêt et l'efficacité administrative; [Am. 64]
b) les qualifications techniques requises du personnel associé aux audits. [Am. 65]
Article 4
Tâches des autorités aéronautiques nationales de surveillance[Am. 66]
1. Les autorités aéronautiques nationales de surveillance visées à l’article 3 sont notamment chargées des tâches suivantes: [Am. 67]
a) assurer le contrôle de l’application du présent règlement et du règlement (CE) n° 216/2008, notamment en ce qui concerne l’exploitation sûre et efficace de la part des prestataires de services de navigation aérienne qui fournissent des services dans l’espace aérien relevant de la responsabilité de l’État membre qui a désigné ou établi l’autorité concernée; [Am. 68]
b) délivrer les certificats aux prestataires de services de navigation aérienne conformément à l’article exécuter ou déléguer tout ou partie des tâches énumérées aux articles 8 ter du règlement (CE) n° 216/2008 et surveiller s'acquitter de la tâche consistant à veiller au contrôle de l’application des conditions dans lesquelles ils ont été accordésdu présent règlement, notamment en ce qui concerne l'exploitation sûre et efficace de la part des prestataires de services de navigation aérienne dans l'espace aérien relevant de la responsabilité des États membres; [Am. 69]
c) délivrer les licences, qualifications, mentions et certificats aux contrôleurs aériens conformément à l’article 8 quater du règlement (CE) n° 216/2008 et surveiller l’application des conditions dans lesquelles ils ont été délivrés; [Am. 70]
d) établir les plans de performance et assurer le suivi de leur mise en œuvre conformément à l’article 11;
e) suivre la mise en œuvre du système de tarification conformément aux articles 12 et 13, ainsi que l'application des dispositions relatives au subventionnement croisé prévues à l'article 13, paragraphe 7; [Am. 71]
f) approuver les conditions d’accès aux données d’exploitation conformément à l’article 22; et
g) superviser les déclarations et la mise en service des systèmes.
g bis) rendre compte annuellement de ses activités et de l'exécution de ses missions aux autorités compétentes de l'État membre, à l'EAA et à la Commission. Ces comptes rendus comprennent les mesures prises et les résultats obtenus pour chacune des tâches énumérées dans le présent article. [Am. 72]
2. Chaque autorité aéronautique nationale de surveillance organise les inspections et les enquêtes nécessaires pour vérifier le respect des exigences du présent règlement. Le prestataire de services de navigation aérienne concerné facilite ce travail et l'État membre concerné met à disposition toute aide nécessaire pour garantir l'efficacité de cette vérification. [Am. 73]
Article 5
Coopération entre les autorités aéronautiques nationales de surveillance [Am. 74]
1. Les autorités aéronautiques nationales de surveillance échangent des informations sur leur travail et leurs principes, pratiques et procédures de prise de décision, ainsi que sur la mise en œuvre du droit de l’Union. Elles coopèrent afin de coordonner leurs processus décisionnels dans l'ensemble de l'Union. Les autorités aéronautiques nationales de surveillance participent et collaborent au sein d'un réseau qui se réunit régulièrement, au moins une fois par an. La Commission et l’Agence de l'Union européenne pour l'aviation (ci-après l'«EAA») sont membres de ce réseau, coordonnent et soutiennent les travaux de ce dernier et, le cas échéant, lui adressent des recommandations. La Commission et l’EAA favorisent la coopération active des autorités aéronautiques nationales de surveillance et les échanges et le détachement de personnel entre lesces autorités nationales de surveillance grâce à une réserve d’experts à mettre en place par l’EAA conformément à l’article 17, paragraphe 2, point f), du règlement (CE) n° 216/2008.
Ce réseau peut notamment:
a) produire et diffuser des méthodes et des lignes directrices rationalisées aux fins de l'exécution des tâches de l'autorité énumérées à l'article 4;
b) aider les autorités aéronautiques nationales sur des questions touchant à la réglementation;
c) fournir des avis à la Commission et à l'EAA en ce qui concerne l'élaboration de la réglementation et la certification;
d) fournir des avis, des lignes directrices et des recommandations destinés à faciliter la fourniture de services transfrontaliers;
e) mettre au point des solutions communes à appliquer dans deux ou plusieurs États pour atteindre les objectifs du plan directeur GTA ou de la convention de Chicago. [Am. 75]
Sous réserve des règles en matière de protection des données prévues à l’article 22 du présent règlement et dans le règlement (CE) n° 45/2001, la Commission apporte un soutien à l’échange des informations mentionnées aux premier et deuxième alinéas du présent paragraphemet à disposition une plate-forme d'échange d'informations entre les membres du réseau, éventuellement par des moyens électroniques, dans le respect de la confidentialité du secret des affaires des prestataires de services de navigation aérienneentreprises, organisations ou entités concernées. [Am. 76]
2. Les autorités aéronautiques nationales de surveillance coopèrent étroitement, notamment en fixant des modalités de collaboration à des fins d’assistance mutuelle dans leurs tâches de suivi et de traitement des inspections et des enquêtes. [Am. 77]
3. En ce qui concerne les blocs d’espace aérien fonctionnels s’étendant sur un espace aérien relevant de la responsabilité de plusieurs États membres, les États membres concernés concluent un accord sur la surveillance prévue par le présent articleà l'article 4 relativement aux prestataires de services de navigation aérienne fournissant des services concernant ces blocs. Les autorités aéronautiques nationales de surveillance concernées établissent un plan indiquant les modalités de leur coopération afin de donner effet à cet accord. [Am. 78]
4. Les autorités de surveillance aéronautiques nationales coopèrent étroitement afin d’effectuer un contrôle adéquat des prestataires de services de navigation aérienne qui sont détenteurs d’un certificat valable délivré par un État membre et qui fournissent également des services ayant trait à l’espace aérien relevant de la responsabilité d’un autre État membre. Cette coopération comprend des arrangements en vue du traitement des cas de non-respect du présent règlement et des exigences communes applicables adoptées conformément à l’article 8 ter, paragraphe 1, du règlement (CE) n° 216/2008. [Am. 79]
5. Dans le cas de la fourniture de services de navigation aérienne, dans un espace aérien relevant de la responsabilité d'un autre État membre, les arrangements visés aux paragraphes 2, 3 et 4 comprennent un accord sur la reconnaissance mutuelle des tâches de contrôle énoncées à l'article 4, paragraphes 1 et 2, et des résultats de ces tâches. Cette reconnaissance mutuelle s’applique également lorsque des mécanismes de reconnaissance entre les autorités de surveillance nationales sont mis en place pour la procédure de certification des prestataires de services. [Am. 80]
6. Si le droit national le permet et afin de nouer une coopération régionale, les autorités aéronautiques de surveillance nationales peuvent également conclure des accords sur le partage des responsabilités touchant aux tâches de contrôle. [Am. 81]
Article 6
Entités qualifiées
1. L'EAA et les autorités de surveillance aéronautiques nationales peuvent décider de déléguer tout ou partie des inspections et, des enquêtes visées à l’article 4, paragraphe 2,et des autres tâches prévues par le présent règlement, à des entités qualifiées répondant aux exigences définies à l’annexe I. [Am. 82]
2. Une telle délégation octroyée par une autorité de surveillance nationale est valable dans toute l'Union pendant une période renouvelable de trois ans. L'EAA et les autorités aéronautiques nationales de surveillance peuvent charger toute entité qualifiée établie dans l'Union d’effectuer les inspections et enquêtes. [Am. 83]
3. Les États membresL'EAA et les autorités aéronautiques nationales notifient à la Commission, à l'EAA et aux autres États membres et, le cas échéant, à l'EAA, les entités qualifiées auxquelles ils ont délégué des tâches conformément au paragraphe 1 en indiquant le domaine de compétence de chaque entité et son numéro d'identification, ainsi que tout changement intervenu à cet égard. La Commission publie au Journal officiel de l'Union européenne la liste des entités qualifiées, leurs numéros d'identification et leurs domaines de compétence, et tient cette liste à jour. [Am. 84]
4. Tout État membre annuleL'EAA et les autorités aéronautiques nationalesannulent la délégation d'une entité qualifiée si celle-ci ne remplit plus les exigences figurant à l'annexe I. IlElles en informeinforment immédiatement la Commission, l'EAA et les autres États membres. [Am. 85]
5. Les organismes désignés avant l’entrée en vigueur du présent règlement en tant qu'organismes notifiés conformément à l’article 8 du règlement (CE) n° 552/2004 sont considérés comme des entités qualifiées aux fins du présent article.
Article 7
Consultation des parties intéressées
1. Les autorités aéronautiques nationales de surveillance, agissant conformément à leur législation nationale, instaurent des mécanismes de consultation en vue d’une participation appropriée des parties intéressées, y compris les organisations professionnelles représentant les personnels pour l'exercice de leurs tâches, à la mise en œuvre du ciel unique européen. [Am. 86]
2. Les parties intéressées peuvent comprendre:
– les prestataires de services de navigation aérienne,
– les exploitants d’aéroports,
– les usagers de l’espace aérien concernés ou les groupes pertinents représentant les usagers de l’espace aérien,
– les autorités militaires,
– l'industrie,
– les organisations professionnelles représentant les personnels.
CHAPITRE III
FOURNITURE DE SERVICES
Article 8
Certification des prestataires de services de navigation aérienne
1. La fourniture de tous les services de navigation aérienne dans l’Union fait l’objet d’une certification par les autorités aéronautiques nationales de surveillance ou par l’EAA, ou d’une déclaration à celles-ci, conformément à l’article 8 ter du règlement (CE) n° 216/2008. [Am. 87]
2. La procédure de certification assure également que les demandeurs sont en mesure de démontrer une solidité financière suffisante et ont obtenu la responsabilité et la couverture des risques, s’il n’y a pas de garantie par l’État membre.
3. Le certificat prévoit l'accès des usagers de l'espace aérien aux services sur une base non discriminatoire, concernant en particulier la sécurité. La certification est subordonnée aux conditions définies à l'annexe II.
4. La délivrance de certificats confère aux prestataires de services de navigation aérienne le droit d’offrir leurs services aux États membresà tout État membre, à d’autres prestataires de services de navigation aérienne, aux usagers de l’espace aérien et aux aéroports dans l’Union. En ce qui concerne les services d’appui, cette possibilité est soumise au respect des dispositions de l’article 10, paragraphe 2. et, le cas échéant, aux pays tiers voisins dans un bloc d'espace aérien fonctionnel, moyennant l'accord mutuel des parties concernées. [Am. 88]
Article 9
Désignation des prestataires de services de la circulation aérienne
1. Les États membres garantissent la fourniture des services de la circulation aérienne en exclusivité dans des blocs d’espace aérien spécifiques appartenant à l’espace aérien relevant de leur responsabilité. À cet effet, les États membres désignent un prestataire de services de la circulation aérienne détenteur d’un certificat ou d’une déclaration valable dans l’Union.
2. En ce qui concerne la fourniture de services transfrontaliers, tout État membre s’assure que le respect du présent article et de l’article 18, paragraphe 3, n’est pas entravé par son système juridique national qui exigerait que les prestataires de services de la circulation aérienne fournissant des services dans l’espace aérien relevant de sa responsabilité remplissent l’une des conditions suivantes:
a) soient détenus, directement ou par participation majoritaire, par cet État membre ou ses ressortissants;
b) aient leur lieu d’exploitation principal ou leur siège social sur le territoire de cet État membre;
c) utilisent uniquement des installations dans cet État membre.
3. Les États membres définissent les droits et obligations des prestataires de services de circulation aérienne désignés. Les obligations peuvent inclure des conditions relatives à la fourniture en temps voulu d’informations pertinentes permettant d’identifier tous les mouvements d’aéronefs dans l’espace aérien relevant de leur responsabilité.
4. Les États membres ont un pouvoir discrétionnaire en ce qui concerne le choix d’un prestataire de services de circulation aérienne, à condition que ce dernier soit certifié ou déclaré conformément au règlement (CE) n° 216/2008.
5. En ce qui concerne les blocs d’espace aérien fonctionnels définis conformément à l’article 16 et s’étendant sur l’espace aérien relevant de la responsabilité de plusieurs États membres, les États membres concernés désignent conjointement, conformément au paragraphe 1 du présent article, un ou plusieurs prestataires de services de la circulation aérienne, un mois au moins avant la mise en œuvre du bloc d’espace aérien. [Am. 89]
6. Les États membres informent immédiatement la Commission et les autres États membres de toute décision prise dans le cadre du présent article concernant la désignation de prestataires de services de la circulation aérienne dans des blocs d’espace aérien spécifiques pour ce qui concerne l’espace aérien relevant de leur responsabilité.
Article 10
Fourniture de services d’appui
1. Les États membres prennent toutes les mesures nécessaires pour veiller à ce que, conformément au présent article, il n'existe pas d'obstacles statutaires empêchant les prestataires de services d’appui puissentd'entrer en concurrence au sein de l’Union sur la base de conditions équitables, non discriminatoires et transparentes pour la fourniture de ces services.
L’exigence énoncée au présent article est satisfaite pour le 1er janvier 2020 au plus tard.
2. Les États membres prennent toutes les mesures nécessaires pour assurerfaire en sorte que la fourniture deles prestataires de services de la circulation aérienne est séparée de la fourniture des de navigation aérienne invitent, au moment de l'établissement de leur plan d'entreprise, plusieurs prestataires de services d’appui. Cette séparation impose que les services de la circulation aérienne et les services d’appui soient fournis par des entreprises distinctes. à présenter une offre, et ce en vue de retenir le prestataire de services financièrement et qualitativement le plus avantageux. L'organe d'évaluation des performances prévu à l'article 11, paragraphe 2, contrôle, lorsqu'il évalue les plans de performance, le respect des dispositions du présent paragraphe.
3. Pour choisir leLe choix d'un prestataire externe de services d’appui, l’entité contractante prend doit se faire dans le respect des dispositions de la directive 2004/18/CE. Parmi les critères de sélection contraignants pour l'entité contractante figurent, notamment en compte l’efficacité économique et l'efficacité énergétique, la qualité générale des services, l'interopérabilité et la sécurité des services, ainsi que la transparence des procédures depassation.
4. Un prestataire de services d’appui ne peut être choisi pour fournir des services dans l’espace aérien d’un État membre que si:
a) il est certifié conformément à l’article 8 ter du règlement (CE) n° 216/2008;
b) son siège principal est situé sur le territoire d'un État membre;
c) le prestataire de services est détenu à plus de 50 % et effectivement contrôlé par des États membres et/ou des ressortissants d'États membres, soit directement, soit indirectement par le biais d'une ou de plusieurs entreprises intermédiaires, sauf disposition contraire contenue dans un accord avec un pays tiers auquel l’Union est partie; et
d) le prestataire de service satisfait aux exigences en matière de sécurité et de défense nationales.
5. Les services d’appui liés aux opérations du réseau européen de gestion du trafic aérien peuvent être fournis de manière centralisée par le gestionnaire de réseau en ajoutant ces services aux services visés à l’article 17, paragraphe 2, conformément à l’article 17, paragraphe 3. Ils peuvent également être fournis sur une base exclusive par un prestataire de services de navigation aérienne ou par des groupements de tels prestataires, notamment ceux liés à la fourniture des infrastructures de gestion du trafic aérien. La Commission précise les modalités de sélection des prestataires ou groupements de prestataires, sur la base de la capacité professionnelle et de la capacité à fournir les services de manière impartiale et économiquement efficace, et établit une évaluation globale des coûts et des avantages prévisibles de la fourniture de services d’assistance de façon centralisée. Ces actes d’exécution sont adoptés selon la procédure d’examen visée à l’article 27, paragraphe 3. La Commission désigne les prestataires ou groupements de prestataires conformément à ces actes d’exécution.
5 bis. La Commission arrête des actes établissant les modalités de sélection des services faisant l'objet du présent article. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 27, paragraphe 3.
5 ter. La Commission réalise une étude approfondie des incidences de l'application des principes de marché à la fourniture des services d'appui sur les plans opérationnel, économique, social et de la sécurité, et présente celle-ci au Parlement européen et au Conseil pour le 1er janvier 2016. Cette étude prend en considération la mise en œuvre du plan directeur GTA et l'incidence des technologies SESAR sur le secteur des services d'appui. [Am. 90]
Article 11
Système de performance
1. Pour accroître les performances des services de navigation aérienne et des services de réseau dans le ciel unique européen, un système de performance pour les services de navigation aérienne et les services de réseau est instauré. Il comprend:
a) des objectifs de performance au niveau de l’Union et des objectifs de performance correspondants à l'échelon local dans les domaines essentiels de performance que sont la sécurité, l’environnement, la capacité et l’efficacité économique, conformément aux objectifs élevés du plan directeur GTA fixés pour toute la période de référence; [Am. 91]
b) des plans nationaux ou des plans au niveau des blocs d’espace aérien fonctionnelsde performance locaux, comportant des objectifs de performance, conformes aux objectifs de performance au niveau de l’Union et aux objectifs de performance correspondants à l'échelon local; et [Am. 92]
c) l’examen périodique, le contrôle et l’analyse comparative des performances des services de navigation aérienne et des services de réseau.
2. La Commission désigne un organisme indépendant, impartial et compétent comme «organe d’évaluation des performances». L’organe d’évaluation des performances(OEP). L'OEP est créé en tant qu'autorité européenne de régulation économique placée sous la supervision de la Commission, à compter du 1er juillet 2015. L'OEP a pour rôle d’assister la Commission, en concertation avec les autorités aéronautiques nationales de surveillance, et d’assister et superviser ces dernières, à leur demande, dans la mise en œuvre du système de performance visé au paragraphe 1. L'OEP est fonctionnellement et juridiquement distinct de tout prestataire de services, que ce soit au niveau national ou paneuropéen. L’EAA et, le gestionnaire de réseau, Eurocontrol ou une autre entité compétente peuvent fournir une assistance technique à l’organe d’évaluation des performancesl'OEP. [Am. 93]
3. Les plans nationaux ou les plans au niveau des blocs d’espace aérien fonctionnelsde performance locaux visés au paragraphe 1, point b), sont élaborés par les autorités aéronautiques nationales de surveillance et adoptés par le ou les États membres. Ces plans comportent des objectifs locaux contraignants ainsi qu’un mécanisme incitatif approprié, adopté par le ou les États membres. La Commission, l'OEP, les prestataires de services de navigation aérienne, les représentants des usagers de l’espace aérien et, le cas échéant, les exploitants d’aéroports et les coordonnateurs d’aéroports sont consultés pour l’élaboration de ces plans. [Am. 94]
4. La conformité des plans établis au niveau national ou au niveau des blocs d’espace aérien fonctionnels et des objectifs locaux avec les objectifs de performance au niveau de l’Union est évaluée par la Commission en coopération avec l’organe d’évaluation des performancesl'OEP. [Am. 95]
Si la Commission constate que les plans établis au niveau national ou au niveau des blocs d’espace aérien fonctionnelsde performance locaux ou les objectifs locaux ne sont pas conformes aux objectifs au niveau de l’Union, elle peut obliger les états membres concernés à prendre les mesures correctives nécessaires. Ces actes d'exécution sont adoptés selon la procédure consultative visée à l'article 27, paragraphe 2. [Am. 96]
5. La période de référence pour le système de performance, visée au paragraphe 1, est de trois ans au moins et de cinq ans au plus. Au cours de cette période, si les objectifs locaux ’ ne sont pas atteints, les États membres concernés définissent et appliquent les mesures destinées à rectifier la situation ’. Si la Commission estime que ces mesures ne sont pas suffisantes pour rectifier la situation, elle peut décider que les états membres concernés doivent prendre les mesures correctrices nécessaires ou des sanctions. Ces actes d'exécution sont adoptés selon la procédure consultative visée à l'article 27, paragraphe 2.
6. La Commission procèdeet l'EAA, en association avec l'OEP, procèdent à des évaluations régulières de la réalisation des objectifs de performance au niveau de l’Union et des objectifs de performance correspondants à l'échelon local. [Am. 97]
7. Le’ système de performance visé au paragraphe 1 est fondé sur:
a) la collecte, la validation, l’examen, l’évaluation et la diffusion des données pertinentes relatives aux performances des services de navigation aérienne et des services de réseau fournies par toutes les parties intéressées, parmi lesquelles les prestataires de services de navigation aérienne, les usagers de l’espace aérien, les exploitants d’aéroports, l'EAA, les autorités aéronautiques nationales de surveillance, les États membres et Eurocontrol; [Am. 98]
b) la sélection de domaines clés de performance appropriés, sur la base du document n° 9854 de l’OACI «Concept opérationnel de gestion du trafic aérien mondial», et compatibles avec ceux identifiés dans le cadre de performance du plan directeur GTA, notamment la sécurité, l’environnement, la capacité et l’efficacité économique et le facteur humain, adaptés, le cas échéant, pour tenir compte des exigences spécifiques du ciel unique européen, la fixation d’objectifs correspondant à ces domaines et la définition d’une série limitée d’indicateurs clés pour mesurer les performances. Les indicateurs de performance en matière de sécurité font l'objet d'une attention particulière; [Am. 99]
c) la définition et la révision d’objectifs de performance au niveau de l’Union et d’objectifs de performance correspondants à l'échelon local., en tenant compte des contributions identifiées au niveau national ou au niveau des blocs d’espace aérien fonctionnels. Les objectifs de performance au niveau de l'Union sont définis de sorte que chaque bloc d'espace aérien fonctionnel conserve une souplesse suffisante pour obtenir les meilleurs résultats possibles; [Am. 100]
d) les critères à respecter par les autorités aéronautiques nationales de surveillance pour l’établissement des plans de performance au niveau national ou au niveau des blocs d’espace aérien fonctionnels locaux, contenant les objectifs de performance locaux ’ et le mécanisme incitatif. Les plans de performance: [Am. 101]
i) sont fondés sur les plans d’entreprise des prestataires de services de navigation aérienne, qui devraient, quant à eux, tenir compte de la mise en œuvre du plan directeur GTA; [Am. 102]
ii) couvrent tous les éléments de l’assiette des coûts nationale ou de celle des blocs d’espace aérien fonctionnels;
iii) comportent des objectifs de performance locaux contraignants, conformes aux objectifs de performance au niveau de l’Union;
e) l’évaluation des objectifs de performance locaux ’, sur la base du plan établi au niveau national ou au niveau des blocs d’espace aérien fonctionnelsde performance local; [Am. 103]
f) le suivi des plans de performance établis au niveau national ou au niveau des blocs d’espace aérien fonctionnels locaux, y compris des mécanismes d’alerte appropriés; [Am. 104]
g) les critères permettant d’imposer des sanctions et des mécanismes de compensation pour non-conformité ’’ avec les objectifs de performance au niveau de l’Union et les objectifs de performance correspondants à l'échelon local au cours de la période de référence, et d’aider à la mise en œuvre des mécanismes d’alerte; [Am. 105]
h) les principes généraux à respecter par les États membres pour l’élaboration du mécanisme incitatif;
i) les principes relatifs à l’application d’un mécanisme transitoire nécessaire aux fins de l’adaptation au fonctionnement du système de performance, d’une durée ne dépassant pas douze mois suivant l’adoption de l’acte délégué visé au présent paragraphe;
j) la période de référence et les intervalles appropriés pour l’évaluation de la réalisation des objectifs de performance et la fixation de nouveaux objectifs;
k) les calendriers correspondants requis;
La Commission est habilitée à adopter des actes délégués conformément à l’article 26 afin d'adopter les objectifs de performance au niveau de l'Union et de fixer les modalités pour le bon fonctionnement du système de performance conformément aux points énumérés au présent paragraphe. [Am. 106]
8. Lors de l’élaboration du système de performance, il est tenu compte du fait que les services de route, les services terminaux et les services de réseau sont différents et doivent être traités en conséquence, et ce également, si nécessaire, à des fins d’évaluation des performances.
8 bis. La Commission réalise une étude sur les incidences que le comportement des acteurs autres que les prestataires de services de navigation aérienne participant au système de GTA, par exemple les exploitants d'aéroports, les coordonnateurs d'aéroports et les transporteurs aériens, peut avoir sur le bon fonctionnement du réseau européen de GTA.
L'étude porte au moins sur les aspects suivants:
a) l'identification, au sein du système de GTA, des acteurs autres que les prestataires de services de navigation aérienne qui sont susceptibles d'influencer les performances du réseau;
b) l'effet du comportement de ces acteurs sur les performances des services de navigation aérienne dans les domaines essentiels de performance que sont la sécurité, l'environnement et la capacité;
c) la faisabilité de l'élaboration d'indicateurs de performance et d'indicateurs clés de performance pour ces acteurs;
d) tous les avantages pouvant découler, pour le réseau européen de GTA, de la mise en œuvre d'indicateurs de performance et d'indicateurs clés de performance supplémentaires, et toutes les entraves à une performance optimale.
L'étude commence au plus tard douze mois après la publication du présent règlement et est achevée au plus tard douze mois plus tard; ses résultats sont ensuite examinés par la Commission et les États membres en vue d'élargir la portée du système de performance et d'y inclure, le cas échéant, des indicateurs de performance et indicateurs clés de performance supplémentaires lors des futures périodes de référence, conformément aux dispositions du présent article.[Am. 107]
Article 12
Dispositions générales relatives au système de tarification
Conformément aux exigences des articles 13 et 14, le système de tarification des services de navigation aérienne contribue à une plus grande transparence dans la fixation, l’imposition et la perception des redevances dues par les usagers de l’espace aérien, à l’efficacité économique de la fourniture des services de navigation aérienne et à l’efficacité des vols, tout en maintenant un niveau de sécurité optimal. Le système est également compatible avec l’article 15 de la convention de Chicago de 1944 relative à l’aviation civile internationale et avec le système de redevances de route d'Eurocontrol.
Article 13
Principes relatifs au système de tarification
1. Le système de tarification repose sur la prise en considération des coûts des services de navigation aérienne supportés par les prestataires de services au profit des usagers de l’espace aérien. Le système répartit ces coûts entre les catégories d’usagers.
2. Les principes énoncés aux paragraphes 3 à 8 sont appliqués pour déterminer les coûts à prendre en considération pour le calcul des redevances.
3. Le coût à répartir entre les usagers de l’espace aérien est le coût fixé de la fourniture des services de navigation aérienne, y compris les montants appropriés pour les intérêts sur les investissements et l’amortissement des éléments d’actif, ainsi que les coûts d’entretien, d’exploitation, de gestion et d’administration, y compris les coûts encourus par l’EAA pour l’exécution de tâches en tant qu’autorité compétente. Les coûts fixés sont les coûts fixés par les États membres au niveau national ou au niveau des blocs d’espace aérien fonctionnels, soit au début de la période de référence pour chaque année civile de la période de référence visée à l’article 11, paragraphe 5, soit pendant la période de référence, à la suite d’ajustements appropriés en application des mécanismes d’alerte prévus à l’article 11.
4. Les coûts à prendre en considération en l’occurrence sont les coûts estimés des installations et services fournis et mis en œuvre dans le cadre du plan de navigation aérienne de l’OACI pour la région Europe. Ils comprennent également les coûts encourus par les autorités aéronautiques nationales de surveillance et/ou des entités qualifiées, ainsi que les autres coûts encourus par l’État membre concerné et le prestataire de services concerné pour la fourniture des services de navigation aérienne. Ils ne comprennent pas le coût des sanctions imposées par les États membres visées à l’article 33 ni le coût des éventuelles mesures correctrices ou des sanctions visées à l’article 11, paragraphe 5. [Am. 108]
5. En ce qui concerne les blocs d’espace aérien fonctionnels et dans le cadre de leurs accords-cadres respectifs, les États membres accomplissent des efforts raisonnables pour parvenir à un accord sur des principes communs en matière de politique tarifaire, en vue d'aboutir à une redevance unique, conformément à leurs plans de performance respectifs. [Am. 109]
6. Le coût des différents services de navigation aérienne est déterminé séparément pour chaque service, comme le prévoit l’article 21, paragraphe 3.
7. Les subventions croisées ne sont pas autorisées entre services de route et services terminaux. Les coûts relatifs à la fois aux services terminaux et aux services de route sont répartis de manière proportionnelle entre services de route et services terminaux sur la base d’une méthode transparente. Les subventions croisées sont autorisées entre services de la circulation aérienne différents dans l’une des deux catégories uniquement lorsqu’elles sont justifiées par des raisons objectives et pour autant qu’elles soient clairement identifiées. Les subventions croisées ne sont pas autorisées entre services de route et services d’appui.
8. lLa transparence de l’assiette des coûts pour le calcul des redevances est assurée. Des règles de mise en œuvre sont établies pour la fourniture d’informations par les prestataires de services, afin de permettre le contrôle de leurs prévisions, de leurs coûts réels et de leurs recettes. Les autorités nationales de surveillance, les prestataires de services, les usagers de l’espace aérien, la Commission et Eurocontrol échangent régulièrement des informations.
9. Les États membres appliquent les principes ci-après pour la fixation des redevances conformément aux paragraphes 3 à 8:
a) les redevances pour les services de navigation aérienne sont fixées d’une manière non discriminatoire lors de la fixation des redevances demandées aux différents usagers de l’espace aérien pour l’utilisation d’un même service, aucune distinction n’est faite selon la nationalité des usagers ou la catégorie à laquelle ils appartiennent;
b) l’exonération de certains usagers, notamment les exploitants d’aéronefs légers et d’aéronefs d’État, peut être autorisée, à condition que le coût d’une telle exonération ne soit pas répercuté sur les autres usagers;
c) les redevances sont fixées par année civile sur la base des coûts fixés;
d) les services de navigation aérienne peuvent produire des recettes suffisantes pour assurer un rendement raisonnable des actifs afin de contribuer au financement des améliorations des immobilisations nécessaires;
e) les redevances reflètent les coûts des services et des installations de navigation aérienne mis à la disposition des usagers de l’espace aérien, y compris les coûts encourus par l’EAA pour l’exécution de tâches en tant qu’autorité compétente, compte tenu des capacités contributives relatives des différents types d’aéronefs concernés;
f) les redevances favorisent la fourniture sûre, efficace, effective et durable des services de navigation aérienne en vue d’atteindre un niveau élevé de sécurité et d’efficacité économique, ainsi que les objectifs de performance, et elles encouragent la fourniture de services intégrés tout en réduisant l’impact de l’aviation sur l’environnement. Aux fins du présent point f) et relativement aux plans de performance nationaux ou de bloc d’espace aérien fonctionnel, les autorités aéronautiques nationales de surveillance peuvent instaurer des mécanismes, notamment des mesures incitatives consistant en des avantages ou des désavantages financiers, afin d’encourager les prestataires de services de navigation aérienne et/ou les usagers de l’espace aérien à contribuer aux améliorations dans la fourniture des services de navigation aérienne telles qu’un accroissement de capacité, une diminution des retards et un développement durable, tout en maintenant un niveau de sécurité optimal. [Am. 110]
10. La Commission arrête les mesures détaillant la procédure à suivre pour l’application des paragraphes 1 à 9. Elle peut proposer des mécanismes financiers pour améliorer la synchronisation des dépenses en capital liées au déploiement des technologies SESAR dans les systèmes embarqués et au sol. Ces actes d’exécution sont adoptés selon la procédure d’examen visée à l’article 27, paragraphe 3. [Am. 111]
Article 14
Contrôle de la conformité avec les articles 12 et 13
1. La Commission veille en permanence au respect des principes et règles visés aux articles 12 et 13 en coopération avec les États membres. La Commission s’efforce d’instaurer les mécanismes nécessaires pour mettre à profit le savoir-faire d’Eurocontrol et partage les résultats du contrôle avec les États membres, Eurocontrol et les représentants des usagers de l’espace aérien.
2. À la demande d’un ou de plusieurs États membres ou de sa propre initiative, la Commission examine les mesures spécifiques adoptées par les autorités nationales concernant l’application des articles 12 et 13, au sujet de la détermination des coûts et des redevances. Sans préjudice de l’article 32, paragraphe 1, la Commission partage les conclusions de l’enquête avec les États membres, Eurocontrol et les représentants des usagers de l’espace aérien. Dans un délai de deux mois à compter de la réception d’une demande, après avoir entendu l’État membre concerné, la Commission détermine si les articles 12 et 13 ont été respectés et si la mesure peut donc continuer à s’appliquer. Ces actes d’exécution sont adoptés conformément à la procédure consultative visée à l’article 27, paragraphe 2,
Article 14 bis
Mise en œuvre du plan directeur GTA
La mise en œuvre du plan directeur GTA est coordonnée par la Commission. Le gestionnaire du réseau, l'OEP et le gestionnaire du déploiement contribuent à la mise en œuvre du plan directeur GTA conformément aux dispositions du présent règlement. [Am. 112]
Article 14 ter
La Commission adopte des modalités de gouvernance de la mise en œuvre du plan directeur GTA, notamment des modalités de définition et de sélection de l'organe chargé de la gestion (gestionnaire du déploiement). Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 27, paragraphe 3. [Am. 113]
Article 14 quater
Le gestionnaire du déploiement recommande à la Commission des échéances contraignantes pour le déploiement et les actions correctrices appropriées relatives aux retards de mise en œuvre. [Am. 114]
Article 15
Projets communs
1. Des projets communs sont susceptibles de soutenir la mise en œuvre du plan directeur GTA. Ces projets contribuent à la réalisation des objectifs du présent règlement visant à améliorer la performance du système aéronautique européen dans des domaines clés comme la capacité, l’efficacité des vols, l’efficacité économique et la viabilité environnementale, dans le respect des objectifs impératifs de sécurité. Les projets communs visent à déployer les fonctionnalités GTA en temps utile, d'une manière coordonnée et synchronisée, les fonctionnalités ATM permettant de réaliseren vue d'apporter les changements opérationnels essentiels déterminés dans le plan directeur GTA, notamment la détermination de la portée géographique la plus appropriée, l'architecture des projets fondée sur la performance et la stratégie de fourniture des services que le gestionnaire du déploiement doit appliquer. Le cas échéant, la conception et l'exécution de projets communs visent à permettre l'existence d'un ensemble de capacités interopérables de base dans tous les États membres. [Am. 115]
2. La Commission peut adopter des mesures précisant la gouvernance des projets communs et déterminer des incitations en faveur de leur déploiement. L'organe gérant le déploiement des projets communs est l'organe chargé de la mise en œuvre du plan directeur GTA. Ces actes d’exécution sont adoptés selon la procédure d’examen visée à l’article 27, paragraphe 3, Ces mesures ne portent pas atteinte auxcomplètent les mécanismes de déploiement des projets concernant les blocs d’espace aérien fonctionnels ainsi qu’tels qu'ils ont été arrêtés par les parties prenantes de ces blocs. [Am. 116]
3. La Commission peut adopter des projets communs pour les fonctions liées au réseau qui revêtent une importance particulière pour l’amélioration de la performance globale de la gestion du trafic aérien et des services de navigation aérienne en Europe en définissant les fonctionnalités ATM arrivées à maturité pour leur déploiement, ainsi que le calendrier et la portée géographique du déploiement. Ces actes d’exécution sont adoptés selon la procédure d’examen visée à l’article 27, paragraphe 3 Les projets communs peuvent être considérés comme éligibles à un financement de l’Union dans le cadre financier pluriannuel. À cet effet, et sans préjudice de la compétence des États membres de décider de l’utilisation de leurs ressources financières, la Commission procède à une analyse coûts/bénéfices indépendante ainsi qu’aux consultations appropriées avec les États membres et avec les parties intéressées, conformément à l’article 28, en explorant tout moyen approprié de financer leur déploiement. Les coûts éligibles du déploiement de projets communs sont couverts conformément aux principes de transparence et de non-discrimination.
3 bis. Les projets communs constituent le moyen permettant de mettre en œuvre de manière coordonnée et en temps utile les améliorations opérationnelles mises au point dans le cadre du projet SESAR. Ils contribuent ainsi de manière déterminante à la réalisation des objectifs fixés au niveau européen. [Am. 117]
Article 16
Blocs d'espace aérien fonctionnels
1. es États membres prennent toutes les mesures nécessaires à l’établissement et à la mise en œuvre de blocs d’espace aérien fonctionnels opérationnels fondés sur la fourniture intégrée de services de la circulationnavigation aérienne afin d’atteindre la capacité et l’efficacité nécessaires du réseau de gestion du trafic aérien dans le ciel unique européen, de maintenir un niveau élevé de sécurité et de contribuer aux performances globales du système de transport aérien et à la réduction de l’impact sur l’environnement. [Am. 118]
2. Les blocs d’espace aérien fonctionnels sont fondés, dans la mesure du possible, sur des partenariats industriels de coopération entre des prestataires de services de navigation aérienne, notamment en ce qui concerne la fourniture de services d’appui conformément à l’article 10. Les partenariats industriels peuvent soutenir un ou plusieurs blocs d’espace aérien fonctionnels