RAPPORT sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
21.11.2013 - (COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD)) - ***I
Commission des libertés civiles, de la justice et des affaires intérieures
Rapporteur: Jan Philipp Albrecht
- PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
- EXPOSÉ DES MOTIFS
- AVIS de la commission de l'emploi et des affaires sociales
- AVIS de la commission de l'industrie, de la recherche et de l'énergie
- AVIS de la commission du marché intérieur et de la protection des consommateurs
- AVIS de la commission des affaires juridiques
- PROCÉDURE
PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
(Procédure législative ordinaire: première lecture)
Le Parlement européen,
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0011),
– vu l'article 294, paragraphe 2, ainsi que l'article 16, paragraphe 2, et l'article 114, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7‑0025/2012),
– vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,
– vu les avis motivés soumis, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, par la Chambre des représentants belge, le Bundesrat allemand, le Sénat français, la Chambre des députés italienne et le Parlement suédois, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,
– vu l'avis du Comité économique et social européen du 23 mai 2012[1],
– après consultation du Comité des régions,
– vu l'avis du contrôleur européen de la protection des données du 7 mars 2012,
– vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,
– vu l'article 55 de son règlement,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et les avis de la commission de l'emploi et des affaires sociales, de la commission de l'industrie, de la recherche et de l'énergie, de la commission du marché intérieur et de la protection des consommateurs et de la commission des affaires juridiques (A7-0402/2013),
1. arrête la position en première lecture figurant ci-après;
2. demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.
Amendement 1 Proposition de règlement Considérant 14 | |
|
Texte proposé par la Commission |
Amendement |
|
(14) Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union; il ne couvre pas non plus le traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, qui relève du règlement (CE) n° 45/200144, ni celui qui est fait par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union. |
(14) Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union. Le règlement (CE) n° 45/2011 du Parlement européen et du Conseil1 est mis en conformité avec le présent règlement et appliqué conformément à celui-ci. |
|
____________ |
______________ |
|
44 JO L 8 du 12.1.2001, p. 1. |
1 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1). |
Amendement 2 Proposition de règlement Considérant 15 | |
|
Texte proposé par la Commission |
Amendement |
|
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont exclusivement personnels ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale. Elle ne devrait pas valoir non plus pour les responsables du traitement de données ou leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. |
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses ou une vente privée, qui sont exclusivement personnels, familiaux ou domestiques et sans lien aucun avec une activité professionnelle ou commerciale. Toutefois, le présent règlement devrait s'appliquer aux responsables du traitement de données et à leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. |
Amendement 3 Proposition de règlement Considérant 18 | |
|
Texte proposé par la Commission |
Amendement |
|
(18) Le présent règlement permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents administratifs. |
(18) Le présent règlement permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents administratifs. Des données à caractère personnel contenues dans des documents en possession d'une autorité publique ou d'un organisme public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l'État membre ou de l'Union en matière d'accès du public aux documents officiels, si cela concilie le droit à la protection des données et le droit d'accès du public aux documents officiels, et si un juste équilibre est atteint pour les différents intérêts en jeu. |
Amendement 4 Proposition de règlement Considérant 20 | |
|
Texte proposé par la Commission |
Amendement |
|
(20) Afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu du présent règlement, le traitement de données à caractère personnel concernant des personnes résidant dans l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes concernées, ou à l'observation de leur comportement. |
(20) Afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu du présent règlement, le traitement de données à caractère personnel concernant des personnes résidant dans l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services, qu'un paiement soit exigé ou non, à ces personnes concernées, ou à leur observation. Afin de déterminer si un tel responsable du traitement offre des biens ou des services à des personnes concernées dans l'Union, il y aurait lieu d'examiner s'il apparaît que le responsable du traitement envisage d'offrir des services à des personnes concernées résidant dans un ou plusieurs États membres de l'Union. |
Amendement 5 Proposition de règlement Considérant 21 | |
|
Texte proposé par la Commission |
Amendement |
|
(21) Afin de déterminer si une activité de traitement peut être considérée comme "observant le comportement" des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur l'internet au moyen de techniques de traitement de données consistant à appliquer un "profil" à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. |
(21) Afin de déterminer si une activité de traitement peut être considérée comme "observant" des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies, quelles que soient les origines des données, ou si d'autres données les concernant sont recueillies, y compris à partir de registres et d'annonces publics dans l'Union qui sont accessibles en dehors de l'Union, notamment dans l'intention d'utiliser ou en vue du recours éventuel à des techniques de traitement de données consistant à appliquer un "profil" à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. |
Amendement 6 Proposition de règlement Considérant 23 | |
|
Texte proposé par la Commission |
Amendement |
|
(23) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable. |
(23) Il y a lieu d'appliquer les principes de protection des données à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens raisonnablement susceptibles d'être mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou isoler directement ou indirectement ladite personne. Pour établir si des moyens sont raisonnablement susceptibles d'être mis en œuvre afin d'identifier une personne physique, il convient de considérer l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte à la fois des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Les principes de la protection des données ne devraient donc pas s'appliquer aux données anonymes, qui sont des informations qui ne font pas référence à une personne identifiée ou identifiable. Le présent règlement ne s'applique par conséquent pas au traitement de ces données anonymes, y compris à des fins statistiques et de recherche. |
Amendement 7 Proposition de règlement Considérant 24 | |
|
Texte proposé par la Commission |
Amendement |
|
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion («cookies») par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. |
(24) Le présent règlement devrait être applicable aux traitements impliquant des identifiants fournis par les appareils, applications, outils et protocoles, tels que des adresses IP, des témoins de connexion ("cookies") et des étiquettes d'identification par radiofréquence, à moins que ces identifiants ne fassent pas référence à une personne physique identifiée ou identifiable. |
Amendement 8 Proposition de règlement Considérant 25 | |
|
Texte proposé par la Commission |
Amendement |
|
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque qui résulte du choix de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel. Un acte non équivoque de la personne concernée pourrait consister à cocher une case lorsqu'elle consulte un site internet ou en toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite, donné par la simple utilisation d'un service, ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
Amendement 9 Proposition de règlement Considérant 29 | |
|
Texte proposé par la Commission |
Amendement |
|
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant. |
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Lorsque le traitement des données repose sur le consentement de la personne concernée s'agissant de l'offre directe de biens ou de services aux enfants, le consentement devrait être donné ou autorisé par un parent de l'enfant ou par un représentant légal lorsque l'enfant a moins de 13 ans. Lorsque le public visé est constitué d'enfants, il convient d'utiliser des termes adaptés à leur âge. D'autres fondements donnant lieu à un traitement licite, tels que l'intérêt public, devraient demeurer applicables, par exemple pour le traitement dans le contexte de services de prévention ou de conseil fournis directement à un enfant. |
Amendement 10 Proposition de règlement Considérant 31 | |
|
Texte proposé par la Commission |
Amendement |
|
(31) Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. |
(31) Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. Dans le cas d'un enfant ou d'une personne n'ayant pas la capacité juridique, le droit pertinent de l'Union ou d'un État membre devrait déterminer les conditions dans lesquelles le consentement est donné ou autorisé par cette personne. |
Amendement 11 Proposition de règlement Considérant 32 | |
|
Texte proposé par la Commission |
Amendement |
|
(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d'une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. |
(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d'une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. Afin de respecter le principe de la réduction au minimum des données, la charge de la preuve ne devrait pas être entendue comme exigeant l'identification formelle des personnes concernées, sauf en cas de nécessité. À l'image des termes de droit civil (voir par exemple la directive 93/13/CEE1), les politiques en matière de protection des données devraient être aussi claires et transparentes que possible. Elles ne doivent pas comporter de clauses cachées ou désavantageuses. Le consentement ne peut être donné pour le traitement de données à caractère personnel concernant des tiers. |
|
|
Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). |
Amendement 12 Proposition de règlement Considérant 33 | |
|
Texte proposé par la Commission |
Amendement |
|
(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. |
(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. Tel est particulièrement le cas lorsque le responsable du traitement est une autorité publique qui peut, en vertu de ses prérogatives de puissance publique, imposer une obligation et que le consentement ne peut être réputé librement consenti. L'utilisation d'options par défaut que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées, n'est pas l'expression d'un libre consentement. Le consentement au traitement de données à caractère personnel complémentaires qui ne sont pas nécessaires pour la fourniture d'un service ne devrait pas être requis pour l'utilisation de ce service. Le retrait du consentement peut permettre la cessation ou l'inexécution du service qui dépend des données. Lorsque la réalisation de la finalité prévue ne peut pas être clairement déterminée, le responsable du traitement devrait, à intervalles réguliers, fournir à la personne concernée des informations sur le traitement et lui demander de donner à nouveau son consentement. |
Amendement 13 Proposition de règlement Considérant 34 | |
|
Texte proposé par la Commission |
Amendement |
|
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
supprimé |
Amendement 14 Proposition de règlement Considérant 36 | |
|
Texte proposé par la Commission |
Amendement |
|
(36) Lorsque le traitement est réalisé conformément à une obligation légale à laquelle est soumis le responsable du traitement, ou lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir son fondement juridique dans le droit de l'Union ou dans une loi nationale respectant les conditions imposées par la charte des droits fondamentaux de l'Union européenne pour toute limitation des droits et des libertés. Il appartient également au droit de l'Union ou à la loi nationale de déterminer si le responsable du traitement investi d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne physique ou morale de droit public, ou de droit privé telle qu'une association professionnelle. |
(36) Lorsque le traitement est réalisé conformément à une obligation légale à laquelle est soumis le responsable du traitement, ou lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir son fondement juridique dans le droit de l'Union ou dans une loi nationale respectant les conditions imposées par la charte des droits fondamentaux de l'Union européenne pour toute limitation des droits et des libertés. Cela devrait également inclure les conventions collectives qui pourraient être reconnues en droit national comme étant d'applicabilité générale. Il appartient également au droit de l'Union ou à la loi nationale de déterminer si le responsable du traitement investi d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne physique ou morale de droit public, ou de droit privé telle qu'une association professionnelle. |
Amendement 15 Proposition de règlement Considérant 38 | |
|
Texte proposé par la Commission |
Amendement |
|
(38) Les intérêts légitimes du responsable du traitement peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
(38) Les intérêts légitimes du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, peuvent constituer un fondement juridique au traitement à condition qu'ils satisfassent les attentes raisonnables de la personne concernée en ce qui concerne sa relation avec le responsable du traitement et que ne prévalent pas les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. À moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement se limitant aux données pseudonymes est présumé répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Les intérêts et droits fondamentaux de la personne concernée pourraient en particulier l'emporter sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne peuvent raisonnablement s'attendre à un traitement ultérieur. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
Amendement 16 Proposition de règlement Considérant 39 | |
|
Texte proposé par la Commission |
Amendement |
|
(39) Le traitement des données relatives au trafic, dans la mesure strictement nécessaire à la finalité de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par les pouvoirs publics, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), des fournisseurs de réseaux ou de services de communications électroniques, par des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable des données. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques. |
(39) Le traitement des données relatives au trafic, dans la mesure strictement nécessaire et proportionnelle à la finalité de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, ainsi que la sécurité des services connexes offerts par ces réseaux et systèmes, par les pouvoirs publics, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), des fournisseurs de réseaux ou de services de communications électroniques, par des fournisseurs de technologies et services de sécurité constitue un intérêt légitime du responsable des données. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par "déni de service" et des dommages touchant les systèmes de communications informatiques et électroniques. Ce principe s'applique également au traitement de données à caractère personnel en vue de restreindre l'accès et le recours abusifs à des réseaux ou à des systèmes d'information accessibles au public, comme l'inscription sur une liste noire des identifiants électroniques. |
Amendement 17 Proposition de règlement Considérant 39 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(39 bis) À moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, la prévention ou la limitation des préjudices pour le responsable du traitement devrait être présumée répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe s'applique à l'exercice des droits en justice contre une personne concernée, notamment en cas de recouvrement de dettes ou de préjudices et de mesures au civil. |
Amendement 18 Proposition de règlement Considérant 39 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(39 ter) À moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement de données à caractère personnel à des fins de commercialisation directe pour ses propres produits et services similaires ou à des fins de commercialisation directe par courrier devrait être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement, à condition que des informations pleinement visibles aient été communiquées en ce qui concerne le droit d'opposition et la source des données à caractère personnel. Le traitement de coordonnées commerciales devrait de manière générale être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données ont été divulguées, et répondre aux attentes légitimes de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe devrait s'appliquer au traitement de données à caractère personnel manifestement rendues publiques par la personne concernée. |
Amendement 19 Proposition de règlement Considérant 40 | |
|
Texte proposé par la Commission |
Amendement |
|
(40) Le traitement des données à caractère personnel à d'autres fins ne devrait être autorisé que s'il est compatible avec les finalités de la collecte initiale des données, notamment lorsque le traitement est nécessaire à des fins statistiques ou de recherche historique ou scientifique. Lorsque cette autre finalité n'est pas compatible avec la finalité initiale de la collecte des données, il convient que le responsable du traitement obtienne le consentement de la personne concernée à cette autre finalité ou qu'il fonde le traitement sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la législation de l'État membre dont relève le responsable des données le prévoit. En tout état de cause, l'application des principes énoncés par le présent règlement et, en particulier, de respecter l'obligation d'informer la personne concernée au sujet de ces autres finalités devrait être assurée. |
supprimé |
Amendement 20 Proposition de règlement Considérant 41 | |
|
Texte proposé par la Commission |
Amendement |
|
(41) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que la personne concernée n'y consente expressément. Toutefois, des dérogations à cette interdiction devraient être expressément prévues pour tenir compte de besoins spécifiques, en particulier lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l'exercice des libertés fondamentales. |
supprimé |
Amendement 21 Proposition de règlement Considérant 42 | |
|
Texte proposé par la Commission |
Amendement |
|
(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de remboursement et de services dans le régime d'assurance-maladie, ou à des fins statistiques ou de recherche historique ou scientifique. |
(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de remboursement et de services dans le régime d'assurance-maladie, à des fins statistiques et de recherche historique et scientifique, ou pour des services d'archive. |
Amendement 22 Proposition de règlement Considérant 45 | |
|
Texte proposé par la Commission |
Amendement |
|
(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. |
(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. Si la personne concernée est en mesure de fournir ces données, les responsables du traitement ne devraient pas pouvoir invoquer un manque d'information pour rejeter une demande d'accès |
Amendement 23 Proposition de règlement Considérant 47 | |
|
Texte proposé par la Commission |
Amendement |
|
(47) Des modalités devraient être prévues pour faciliter l'exercice, par la personne concernée, des droits qui lui sont conférés par le présent règlement, notamment les moyens de demander sans frais l'accès aux données, leur rectification ou leur effacement, et d'exercer son droit d'opposition. Le responsable du traitement devrait être tenu de répondre à la personne concernée dans un délai donné et de motiver tout refus. |
(47) Des modalités devraient être prévues pour faciliter l'exercice, par la personne concernée, des droits qui lui sont conférés par le présent règlement, notamment les moyens d'obtenir sans frais l'accès aux données, leur rectification ou leur effacement, et d'exercer son droit d'opposition. Le responsable du traitement devrait être tenu de répondre à la personne concernée dans un délai raisonnable et de motiver tout refus. |
Amendement 24 Proposition de règlement Considérant 48 | |
|
Texte proposé par la Commission |
Amendement |
|
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée probable pendant laquelle les données seront conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers, de l'existence de mesures permettant l'opposition ou d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. Ces informations devraient être communiquées à la personne concernée après que des informations simplifiées lui aient été fournies sous la forme d'icônes normalisées, ce qui peut également signifier qu'elle doit pouvoir y accéder facilement. Cela devrait également signifier que les données à caractère personnel sont traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits. |
Amendement 25 Proposition de règlement Considérant 50 | |
|
Texte proposé par la Commission |
Amendement |
|
(50) Toutefois, il n'est pas nécessaire d'imposer cette obligation si la personne concernée dispose déjà de cette information, ou si l'enregistrement ou la divulgation des données sont expressément prévus par la loi, ou si l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés. Tel pourrait être le cas, en particulier, des traitements à des fins statistiques ou de recherche historique ou scientifique; à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices éventuelles adoptées. |
(50) Toutefois, il n'est pas nécessaire d'imposer cette obligation si la personne concernée connaît déjà cette information, ou si l'enregistrement ou la divulgation des données sont expressément prévus par la loi, ou si l'information de la personne concernée se révèle impossible ou exige des efforts disproportionnés. |
Amendement 26 Proposition de règlement Considérant 51 | |
|
Texte proposé par la Commission |
Amendement |
|
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée estimée de leur conservation, l'identité des destinataires, la logique générale qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, concernant par exemple le droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
Amendement 27 Proposition de règlement Considérant 53 | |
|
Texte proposé par la Commission |
Amendement |
|
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un «droit à l'oubli numérique» lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. |
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un "droit à l'effacement" lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. De la même manière, le droit à l'effacement ne devrait pas s'appliquer lorsque la conservation de données à caractère personnel est nécessaire pour l'exécution d'un contrat avec la personne concernée, ou lorsqu'il existe une obligation juridique de conserver ces données. |
Amendement 28 Proposition de règlement Considérant 54 | |
|
Texte proposé par la Commission |
Amendement |
|
(54) Afin de renforcer le «droit à l'oubli numérique» dans l'environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données, ou toute copie ou reproduction de celles-ci. Afin d'assurer cette information, le responsable des données devrait prendre toutes les mesures raisonnables, y compris les mesures techniques, à l'égard des données dont la publication lui est imputable. En ce qui concerne la responsabilité de la publication de données à caractère personnel par un tiers, elle devrait être imputée au responsable du traitement lorsqu'il a lui-même autorisé le tiers à l'effectuer. |
(54) Afin de renforcer le "droit à l'effacement" dans l'environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques sans motif légal soit tenu de prendre toutes les mesures nécessaires pour procéder à l'effacement de ces données, y compris pas des tiers, sans préjudice du droit de la personne concernée à demander réparation. |
Amendement 29 Proposition de règlement Considérant 54 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(54 bis) Les données contestées par l'intéressé, dont l'exactitude ou l'inexactitude ne peut être constatée, devraient être verrouillées jusqu'à ce que la question soit résolue. |
Amendement 30 Proposition de règlement Considérant 55 | |
|
Texte proposé par la Commission |
Amendement |
|
(55) Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d'accès, les personnes devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l'exécution d'un contrat. |
(55) Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d'accès, les personnes devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Il y a lieu d'inciter les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l'exécution d'un contrat. Les fournisseurs de services de la société de l'information ne devraient pas conditionner la fourniture de leurs services au transfert de ces données. |
Amendement 31 Proposition de règlement Considérant 56 | |
|
Texte proposé par la Commission |
Amendement |
|
(56) Dans les cas où des données à caractère personnel pourraient faire l'objet d'un traitement licite afin de protéger les intérêts vitaux de la personne concernée, ou pour un motif d'intérêt général, à l'exercice de l'autorité publique ou à la poursuite des intérêts légitimes du responsable du traitement, toute personne concernée devrait néanmoins avoir le droit de s'opposer au traitement de toute donnée la concernant. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
(56) Dans les cas où des données à caractère personnel pourraient faire l'objet d'un traitement licite afin de protéger les intérêts vitaux de la personne concernée, ou pour un motif d'intérêt général, à l'exercice de l'autorité publique ou à la poursuite des intérêts légitimes du responsable du traitement, toute personne concernée devrait néanmoins avoir le droit de s'opposer au traitement de toute donnée la concernant sans frais et d'une manière simple et effective. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
Amendement 32 Proposition de règlement Considérant 57 | |
|
Texte proposé par la Commission |
Amendement |
|
(57) Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée devrait avoir le droit de s'opposer à ce traitement, sans frais et d'une manière simple et effective. |
(57) Lorsque la personne concernée a le droit de s'opposer au traitement, le responsable du traitement devrait le proposer explicitement à la personne concernée d'une manière et sous une forme intelligible, en des termes clairs et simples, et devrait clairement distinguer ce droit des autres informations. |
Amendement 33 Proposition de règlement Considérant 58 | |
|
Texte proposé par la Commission |
Amendement |
|
(58) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur le profilage par traitement automatisé. Toutefois, de telles mesures devraient être permises lorsqu'elles sont expressément autorisées par la loi, appliquées dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention humaine, et cette mesure ne devrait pas concerner les enfants. |
(58) Sans préjudice de la licéité du traitement des données, toute personne physique devrait avoir le droit de s'opposer au profilage. Le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, droits ou libertés ne devrait être permis que lorsqu'il est expressément autorisé par la loi, appliqué dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une appréciation humaine, et cette mesure ne devrait pas concerner les enfants. Ces mesures ne devraient pas entraîner de discrimination à l'encontre de personnes sur la base de leur origine raciale ou ethnique, de leurs opinions politiques, de leur religion ou croyances, de leur appartenance syndicale, de leur orientation sexuelle ou de leur identité de genre. |
Amendement 34 Proposition de règlement Considérant 58 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(58 bis) Le profilage fondé uniquement sur le traitement de données pseudonymes devrait être présumé ne pas affecter de manière significative les intérêts, droits ou libertés de la personne concernée. Lorsque le profilage, qu'il repose sur une source unique de donnée pseudonymes ou sur l'agrégation de données pseudonymes issues de différentes sources, permet au responsable du traitement d'attribuer des données pseudonymes à une personne concernée donnée, les données traitées ne devraient plus être considérées comme pseudonymes. |
Amendement 35 Proposition de règlement Considérant 59 | |
|
Texte proposé par la Commission |
Amendement |
|
(59) Des limitations des principes spécifiques et du droit à l'information, du droit d'accès, de rectification et d'effacement, ou du droit à la portabilité des données, du droit d'opposition, des mesures fondées sur le profilage, ainsi que de la communication d'une violation des données à caractère personnel à une personne concernée, et des limitations de certaines obligations connexes des responsables du traitement des données peuvent être imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique, pour garantir la sécurité publique, notamment aux fins de la protection de la vie humaine en cas, plus particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la prévention, de l'investigation et de la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées, aux fins d'autres intérêts publics, y compris d'un intérêt économique ou financier important de l'Union ou d'un État membre, ou aux fins de la protection de la personne concernée ou des droits ou libertés de tiers. Ces limitations doivent être conformes aux exigences énoncées par la charte des droits fondamentaux de l'Union européenne et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. |
(59) Des limitations des principes spécifiques et du droit à l'information, du droit de rectification et d'effacement ou du droit à consulter ou obtenir des données, du droit d'opposition, du profilage, ainsi que de la communication d'une violation des données à caractère personnel à une personne concernée, et des limitations de certaines obligations connexes des responsables du traitement des données peuvent être imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique, pour garantir la sécurité publique, notamment aux fins de la protection de la vie humaine en cas, plus particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la prévention, de l'investigation et de la poursuite d'infractions pénales ou de manquements à la déontologie des professions réglementées, aux fins d'autres intérêts publics spécifiques et clairement définis, y compris d'un intérêt économique ou financier important de l'Union ou d'un État membre, ou aux fins de la protection de la personne concernée ou des droits ou libertés de tiers. Ces limitations doivent être conformes aux exigences énoncées par la charte des droits fondamentaux de l'Union européenne et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. |
Amendement 36 Proposition de règlement Considérant 60 | |
|
Texte proposé par la Commission |
Amendement |
|
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. |
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte, en particulier en ce qui concerne la documentation, la sécurité des données, les analyses d'impact, le délégué à la protection des données et le contrôle par les autorités de protection des données. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit en mesure d'en apporter la preuve. Cela devrait être vérifié par des auditeurs indépendants internes ou externes. |
Amendement 37 Proposition de règlement Considérant 61 | |
|
Texte proposé par la Commission |
Amendement |
|
(61) La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut. |
(61) La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut. Le principe de la protection des données dès la conception requiert que cette protection soit intégrée dans la totalité du cycle de vie d'une technologie, dès la toute première étape de conception jusqu'à son déploiement final, son utilisation et son élimination. Cela devrait également inclure la responsabilité pour les produits et services utilisés par le responsable du traitement ou le sous-traitant. Le principe de la protection des données par défaut requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction des données au minimum et la limitation de la finalité. |
Amendement 38 Proposition de règlement Considérant 62 | |
|
Texte proposé par la Commission |
Amendement |
|
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. |
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. L'accord entre les responsables conjoints du traitement devrait refléter leurs rôles effectifs et leurs relations. Dans le cadre du traitement de données à caractère personnel au titre du présent règlement, un responsable du traitement devrait également être autorisé à communiquer les données à un responsable conjoint ou à un sous-traitant afin qu'ils traitent les données en son nom. |
Amendement 39 Proposition de règlement Considérant 63 | |
|
Texte proposé par la Commission |
Amendement |
|
(63) Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, et que les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, ou à l'observation de leur comportement, il conviendrait que le responsable du traitement désigne un représentant, à moins que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de protection adéquat, ou que le responsable ne soit une petite ou moyenne entreprise ou une autorité ou un organisme public, ou qu'il ne propose qu'occasionnellement des biens ou des services à ces personnes concernées. Le représentant devrait agir pour le compte du responsable du traitement et devrait pouvoir être contacté par toute autorité de contrôle. |
(63) Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, il conviendrait que le responsable du traitement désigne un représentant, à moins que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de protection adéquat, ou que le traitement vise moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et ne concerne pas des catégories spéciales de donnes à caractère personnel, ou que le responsable du traitement ne soit une autorité ou un organisme public, ou qu'il ne propose qu'occasionnellement des biens ou des services à ces personnes concernées. Le représentant devrait agir pour le compte du responsable du traitement et devrait pouvoir être contacté par toute autorité de contrôle. |
Amendement 40 Proposition de règlement Considérant 64 | |
|
Texte proposé par la Commission |
Amendement |
|
(64) Afin de déterminer si un responsable des données n'offre qu'occasionnellement des biens et des services à des personnes concernées résidant dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble de ses activités que l'offre de biens et de services à ces personnes concernées est accessoire à ses activités principales. |
(64) Afin de déterminer si un responsable des données n'offre qu'occasionnellement des biens et des services à des personnes concernées dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble de ses activités que l'offre de biens et de services à ces personnes concernées est accessoire à ses activités principales. |
Amendement 41 Proposition de règlement Considérant 65 | |
|
Texte proposé par la Commission |
Amendement |
|
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait consigner chaque opération de traitement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question. |
(65) Afin de pouvoir apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait tenir à jour la documentation nécessaire au respect des exigences établies dans le présent règlement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent à l'évaluation du respect du présent règlement. Néanmoins, il y a lieu d'accorder la même attention et la même importance aux bonnes pratiques et à la conformité, et pas seulement à la constitution de la documentation. |
Amendement 42 Proposition de règlement Considérant 66 | |
|
Texte proposé par la Commission |
Amendement |
|
(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l'adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, la Commission devrait promouvoir la neutralité technologique, l'interopérabilité et l'innovation, et au besoin, coopérer avec les pays tiers. |
(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l'adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, il convient de promouvoir la neutralité technologique, l'interopérabilité et l'innovation, et au besoin, d'encourager la coopération avec les pays tiers. |
Amendement 43 Proposition de règlement Considérant 67 | |
|
Texte proposé par la Commission |
Amendement |
|
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, le responsable du traitement devrait informer l'autorité de contrôle de la violation sans retard injustifié, soit dans un délai inférieur à 72 heures. Le cas échéant, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
Amendement 44 Proposition de règlement Considérant 71 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(71 bis) Les analyses d'impact sont l'essence même de tout cadre viable de protection des données. Elles garantissent que les entreprises soient conscientes dès le départ de toutes les conséquences possibles de leurs traitements. Des analyses d'impact approfondies permettent de limiter le risque de violation des données ou de traitements portant atteinte à la vie privée. Les analyses d'impact relatives à la protection des données devraient, dès lors, porter sur la gestion des données à caractère personnel tout au long de leur cycle de vie, depuis la collecte jusqu'au traitement et à l'effacement des données, en décrivant, en détail, les traitements envisagés, les risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour réduire ces risques, ainsi que les clauses de sauvegarde, les mesures de sécurité et les mécanismes destinés à garantir le respect du présent règlement. |
Amendement 45 Proposition de règlement Considérant 71 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(71 ter) Les responsables du traitement devraient s'attacher à la protection des données à caractère personnel pendant la totalité du cycle de vie des données, depuis leur collecte jusqu'à leur suppression, en passant par le traitement, en investissant dès le départ dans un cadre viable de gestion des données et en effectuant un suivi au moyen d'un mécanisme complet de contrôle de conformité. |
Amendement 46 Proposition de règlement Considérant 73 | |
|
Texte proposé par la Commission |
Amendement |
|
(73) Une autorité ou un organisme publics ne devraient réaliser une analyse d'impact relative à la protection des données que si celle-ci n'a pas été faite au moment de l'adoption de la loi nationale régissant la mission de l'autorité ou de l'organisme publics concernés ainsi que l'opération ou l'ensemble d'opérations de traitement en question. |
supprimé |
Amendement 47 Proposition de règlement Considérant 74 | |
|
Texte proposé par la Commission |
Amendement |
|
(74) Lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement exposent les droits et libertés des personnes concernées à un degré élevé de risques particuliers, comme priver ces personnes d'un droit, ou de par l'utilisation de certaines technologies nouvelles, l'autorité de contrôle devrait pouvoir être consultée, avant le début de l'opération, sur un traitement risqué susceptible de ne pas être conforme au présent règlement, et formuler des propositions visant à y remédier. Cette consultation devrait également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées. |
(74) Lorsqu'une analyse d'impact relative à la protection des données indique que des opérations de traitement exposent les droits et libertés des personnes concernées à un degré élevé de risques particuliers, comme priver ces personnes d'un droit, ou de par l'utilisation de certaines technologies nouvelles, le délégué à la protection des données ou l'autorité de contrôle devraient pouvoir être consultés, avant le début de l'opération, sur un traitement risqué susceptible de ne pas être conforme au présent règlement, et formuler des propositions visant à y remédier. Une consultation de l'autorité de contrôle devrait également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées. |
Amendement 48 Proposition de règlement Considérant 74 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(74 bis) Les analyses d'impact ne peuvent être utiles que si les responsables du traitement s'assurent de respecter leurs engagements initialement décrits dans ces analyses. Les responsables du traitement devraient, dès lors, procéder, de manière périodique, à un examen de conformité concernant la protection des données, attestant que les mécanismes de traitement en place sont conformes aux engagements pris dans l'analyse d'impact relative à la protection des données. Cet examen devrait également montrer que le responsable du traitement est en mesure de respecter les choix autonomes des personnes concernées. Par ailleurs, si l'examen laisse apparaître des irrégularités, celles-ci doivent être soulignées, et il y a lieu de présenter des recommandations sur la manière d'assurer la pleine conformité. |
Amendement 49 Proposition de règlement Considérant 75 | |
|
Texte proposé par la Commission |
Amendement |
|
(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il est effectué par une grande entreprise ou par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance. |
(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il concerne plus de 5000 personnes sur une période de 12 mois, ou lorsqu'il est effectué par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement sur des données sensibles, ou des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Au moment de décider si des données concernant un grand nombre de personnes seront traitées, les données archivées qui sont limitées de manière à ce qu'elles ne soient pas soumises aux manipulations usuelles d'accès aux données et de traitement des données exécutées par le responsable du traitement et à ce qu'elles ne puissent plus être modifiées, ne devraient pas être prises en compte. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement et qu'ils exécutent ou non cette tâche à plein temps, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance et bénéficier d'une protection spéciale contre le licenciement. La responsabilité ultime devrait continuer d'incomber à la direction de l'organisme. Le délégué à la protection des données devrait, en particulier, être consulté préalablement à la conception, à la fourniture, au développement et à la mise en place de tout système de traitement automatique des données à caractère personnel, afin de garantir le respect des principes de protection de la vie privée dès la conception et par défaut. |
Amendement 50 Proposition de règlement Considérant 75 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(75 bis) Le délégué à la protection des données devrait posséder au moins les qualifications suivantes: une connaissance étendue du contenu et de l'application de la législation en matière de protection des données, y compris les mesures et procédures techniques et organisationnelles; la maîtrise des exigences techniques concernant la protection de la vie privée dès la conception, la protection de la vie privée par défaut et la sécurité des données; une connaissance spécifique du secteur d'activité, conformément à la taille du responsable du traitement ou du sous-traitant et au caractère sensible des données à traiter; la capacité de mener à bien des inspections, des consultations, à établir une documentation et à effectuer des analyses de fichiers; et la capacité à travailler avec des représentants des employés. Le responsable du traitement devrait permettre au délégué à la protection des données de participer à des programmes de formation avancée afin de tenir à jour les connaissances spécialisées requises dans le cadre de l'exécution de ses tâches. La désignation à la fonction de délégué à la protection des données ne nécessite pas obligatoirement un emploi à temps plein de la part du collaborateur concerné. |
Amendement 51 Proposition de règlement Considérant 76 | |
|
Texte proposé par la Commission |
Amendement |
|
(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. |
(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer, après consultation des représentants des salariés, des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. De tels codes devraient simplifier le respect du présent règlement par les entreprises. |
Amendement 52 Proposition de règlement Considérant 77 | |
|
Texte proposé par la Commission |
Amendement |
|
(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de marques et de labels en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question. |
(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de labels et de marques normalisées en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement, de manière fiable et vérifiable, le niveau de protection des données offert par les produits et services en question. Un "label européen de protection des données" devrait être établi au niveau européen afin de générer un climat de confiance chez les personnes concernées et une sécurité juridique pour les responsables du traitement et, dans le même temps, exporter les normes européennes de protection des données en permettant aux entreprises non européennes d'entrer sur les marchés européens en obtenant cette certification. |
Amendement 53 Proposition de règlement Considérant 79 | |
|
Texte proposé par la Commission |
Amendement |
|
(79) Le présent règlement ne remet pas en cause les accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées. |
(79) Le présent règlement ne remet pas en cause les accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées, qui garantissent un niveau de protection adéquat des droits fondamentaux des citoyens. |
Amendement 54 Proposition de règlement Considérant 80 | |
|
Texte proposé par la Commission |
Amendement |
|
(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union au sujet des pays tiers ou des organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. |
(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union au sujet des pays tiers ou des organisations internationales qui sont réputés assurer un tel niveau de protection. La Commission peut également décider, après en avoir informé le pays tiers et lui avoir fourni une justification complète, de révoquer une telle décision. |
Amendement 55 Proposition de règlement Considérant 82 | |
|
Texte proposé par la Commission |
Amendement |
|
(82) La Commission peut également constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale. |
(82) La Commission peut également constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Toute législation prévoyant un accès extraterritorial aux données à caractère personnel traitées dans l'Union sans autorisation conformément au droit de l'Union ou d'un État membre devrait être réputée ne pas offrir un niveau adéquat de protection. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale. |
Amendement 56 Proposition de règlement Considérant 83 | |
|
Texte proposé par la Commission |
Amendement |
|
(83) En l'absence de décision constatant le caractère adéquat du niveau de protection, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou d'autres mesures adaptées et proportionnées qui se justifient au regard des circonstances qui entourent une opération ou une série d'opérations de transfert de données, et dans les cas autorisés par une autorité de contrôle. |
(83) En l'absence de décision constatant le caractère adéquat du niveau de protection, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci. Ces garanties appropriées devraient garantir le respect adéquat des droits des personnes concernées dans le cadre du traitement à l'intérieur de l'Union européenne, notamment en ce qui concerne la limitation de la finalité, le droit à l'accès, la rectification, l'effacement et la réparation. Ces garanties devraient en particulier assurer le respect des principes du traitement des données à caractère personnel, préserver les droits des personnes concernées et prévoir des mécanismes de recours effectifs, assurer le respect des principes de la protection des données dès la conception ainsi que par défaut et garantir l'existence d'un poste de délégué à la protection des données. |
Amendement 57 Proposition de règlement Considérant 84 | |
|
Texte proposé par la Commission |
Amendement |
|
(84) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d'autres clauses, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. |
(84) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les clauses types de protection des données adoptées par la Commission pourraient couvrir différentes situations, à savoir les transferts effectués par des responsables du traitement établis dans l'Union vers des responsables du traitement établis en dehors de l'Union et par des responsables du traitement établis dans l'Union vers des sous-traitants, y compris des sous-traitants ultérieurs, établis en dehors de l'Union. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties encore plus solides par l'intermédiaire d'engagements contractuels supplémentaires qui viendraient compléter les clauses de protection standard. |
Amendement 58 Proposition de règlement Considérant 85 | |
|
Texte proposé par la Commission |
Amendement |
|
(85) Un groupe d'entreprises devrait être autorisé à recourir à des règles d'entreprise contraignantes pour ses transferts internationaux de l'Union vers des entités du même groupe, à condition que ces règles d'entreprise incluent des principes essentiels et des droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel. |
(85) Un groupe d'entreprises devrait être autorisé à recourir à des règles d'entreprise contraignantes pour ses transferts internationaux de l'Union vers des entités du même groupe, à condition que ces règles d'entreprise incluent l'ensemble des principes essentiels et des droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel. |
Amendement 59 Proposition de règlement Considérant 86 | |
|
Texte proposé par la Commission |
Amendement |
|
(86) Le présent règlement devrait autoriser les transferts dans certains cas où la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des motifs importants d'intérêt général établis par le droit de l'Union ou d'un État membre l'exigent, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le transfert ne devrait toutefois pas porter sur la totalité des données ni sur des catégories entières de données contenues dans le registre et, lorsque ce dernier est destiné à être consulté par des personnes qui y ont un intérêt légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent ou si elles en sont les destinataires. |
(86) Le présent règlement devrait autoriser les transferts dans certains cas où la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des motifs importants d'intérêt général établis par le droit de l'Union ou d'un État membre l'exigent, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le transfert ne devrait toutefois pas porter sur la totalité des données ni sur des catégories entières de données contenues dans le registre et, lorsque ce dernier est destiné à être consulté par des personnes qui y ont un intérêt légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent ou si elles en sont les destinataires, en tenant pleinement compte des intérêts et des droits fondamentaux de la personne concernée. |
Amendement 60 Proposition de règlement Considérant 87 | |
|
Texte proposé par la Commission |
Amendement |
|
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière. |
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, ou en cas de transfert aux autorités publiques compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière, y compris la prévention du blanchiment d'argent et la lutte contre le financement du terrorisme. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou d'une autre personne, si la personne concernée se trouve dans l'incapacité de donner son consentement. Le transfert de données à caractère personnel pour des motifs d'intérêt public aussi importants ne devrait être utilisé que de manière occasionnelle. Dans chaque cas, il convient de mener une évaluation minutieuse de toutes les circonstances du transfert. |
Amendement 61 Proposition de règlement Considérant 88 | |
|
Texte proposé par la Commission |
Amendement |
|
(88) Les transferts qui ne peuvent être qualifiés de fréquents ou massifs pourraient également être autorisés aux fins de la poursuite des intérêts légitimes du responsable du traitement ou du sous-traitant, après que ces derniers ont évalué toutes les circonstances entourant le transfert. Pour les traitements à des fins historiques, statistiques et de recherche scientifique, il y aurait lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. |
(88) Pour les traitements à des fins historiques, statistiques et de recherche scientifique, il y aurait lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. |
Amendement 62 Proposition de règlement Considérant 89 | |
|
Texte proposé par la Commission |
Amendement |
|
(89) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat de la protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées qu'elles continueront de bénéficier des droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour le traitement des données les concernant, une fois que ces données auront été transférées. |
(89) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat de la protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent de manière juridiquement contraignante aux personnes concernées qu'elles continueront de bénéficier des droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour le traitement des données les concernant, une fois que ces données auront été transférées, dans la mesure où le traitement n'est pas massif, répétitif et structurel. Cette garantie devrait comprendre une indemnisation en cas de perte de données, d'accès aux données ou de traitement de données non autorisés, ainsi que l'obligation, indépendamment du droit national, de fournir tous les détails de tout accès aux données par les autorités publiques d'un pays tiers. |
Amendement 63 Proposition de règlement Considérant 90 | |
|
Texte proposé par la Commission |
Amendement |
|
(90) Certains pays tiers édictent des lois, des règlements et d'autres instruments législatifs qui visent à régir directement des activités de traitement des données effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres de l'Union. L'application extraterritoriale de ces lois, règlements et autres instruments législatifs peut être contraire au droit international et faire obstacle à la protection des personnes garantie dans l'Union par le présent règlement. Les transferts ne devraient donc être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt général reconnu par le droit de l'Union ou par le droit d'un État membre auquel le responsable des données est soumis. Les critères d'existence d'un motif important d'intérêt général devraient être précisés par la Commission dans un acte délégué. |
(90) Certains pays tiers édictent des lois, des règlements et d'autres instruments législatifs qui visent à régir directement des activités de traitement des données effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres de l'Union. L'application extraterritoriale de ces lois, règlements et autres instruments législatifs peut être contraire au droit international et faire obstacle à la protection des personnes garantie dans l'Union par le présent règlement. Les transferts ne devraient donc être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt général reconnu par le droit de l'Union ou par le droit d'un État membre auquel le responsable des données est soumis. Les critères d'existence d'un motif important d'intérêt général devraient être précisés par la Commission dans un acte délégué. Lorsque les responsables du traitement ou les sous-traitants sont confrontés à des exigences de conformité contradictoires entre la juridiction de l'Union, d'une part, et celle d'un pays tiers, d'autre part, la Commission devrait toujours veiller à faire prévaloir la législation de l'Union. La Commission devrait fournir des orientations et une aide au responsable du traitement et au sous-traitant, et s'efforcer de résoudre le conflit de compétence juridique avec le pays tiers en question. |
Amendement 64 Proposition de règlement Considérant 92 | |
|
Texte proposé par la Commission |
Amendement |
|
(92) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres ont la possibilité d'instituer plusieurs autorités de contrôle, pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. |
(92) L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres ont la possibilité d'instituer plusieurs autorités de contrôle, pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Les autorités disposent des ressources financières et humaines adéquates afin de remplir pleinement leur mission, en tenant compte de la taille de la population et de la quantité de données à caractère personnel traitées. |
Amendement 65 Proposition de règlement Considérant 94 | |
|
Texte proposé par la Commission |
Amendement |
|
(94) Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains, les locaux et les infrastructures nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. |
(94) Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains, en veillant tout particulièrement à ce que le personnel possède les qualifications techniques et juridiques adéquates, les locaux et les infrastructures nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. |
Amendement 66 Proposition de règlement Considérant 95 | |
|
Texte proposé par la Commission |
Amendement |
|
(95) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, et comprendre des dispositions régissant la qualification et la fonction de ces membres. |
(95) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, en prenant bien soin de réduire au minimum toute possibilité d'ingérence politique, et comprendre des dispositions régissant la qualification et la fonction de ces membres, ainsi que la prévention des conflits d'intérêts. |
Amendement 67 Proposition de règlement Considérant 97 | |
|
Texte proposé par la Commission |
Amendement |
|
(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous‑traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous‑traitant dans toute l'Union et pour prendre les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous‑traitants. |
(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle agisse en tant que guichet unique et autorité chef de file responsable du contrôle du responsable du traitement ou du sous-traitant dans toute l'Union et prenne les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants. |
Amendement 68 Proposition de règlement Considérant 98 | |
|
Texte proposé par la Commission |
Amendement |
|
(98) L'autorité compétente faisant ainsi office de guichet unique devrait être l'autorité de contrôle de l'État membre dans lequel le responsable du traitement ou le sous-traitant a son principal établissement. |
(98) L'autorité chef de file faisant ainsi office de guichet unique devrait être l'autorité de contrôle de l'État membre dans lequel le responsable du traitement ou le sous-traitant a son principal établissement ou son représentant. Le comité européen de la protection des données peut, dans certains cas, désigner l'autorité chef de file par le biais du mécanisme de contrôle de la cohérence, à la demande d'une autorité compétente. |
Amendement 69 Proposition de règlement Considérant 98 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(98 bis) Les personnes concernées dont les données à caractère personnel sont traitées par un responsable du traitement ou un sous-traitant dans un autre État membre devraient pouvoir introduire une réclamation auprès de l'autorité de contrôle de leur choix. L'autorité de protection des données chef de file devrait coordonner ses travaux avec ceux des autres autorités impliquées. |
Amendement 70 Proposition de règlement Considérant 101 | |
|
Texte proposé par la Commission |
Amendement |
|
(101) Chaque autorité devrait recevoir les réclamations des personnes concernées et examiner les affaires en question. L'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée. |
(101) Chaque autorité devrait recevoir les réclamations des personnes concernées ou par des associations agissant dans l'intérêt général et examiner les affaires en question. L'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée ou l'organisation de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée. |
Amendement 71 Proposition de règlement Considérant 105 | |
|
Texte proposé par la Commission |
Amendement |
|
(105) Afin de garantir l'application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. |
(105) Afin de garantir l'application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. En outre, les personnes concernées devraient avoir le droit d'exiger de la cohérence si elles estiment qu'une mesure mise en œuvre par l'autorité de protection des données d'un État membre ne répond pas à ce critère. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. |
Amendement 72 Proposition de règlement Considérant 106 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(106 bis) Afin de garantir l'application cohérente du présent règlement, le comité européen de la protection des données peut, dans des cas spécifiques, adopter une décision contraignante pour les autorités de contrôle compétentes. |
Amendement 73 Proposition de règlement Considérant 107 | |
|
Texte proposé par la Commission |
Amendement |
|
(107) Afin de garantir le respect du présent règlement, la Commission peut adopter un avis sur cette question, ou une décision ordonnant à l'autorité de contrôle de suspendre son projet de mesure. |
supprimé |
Amendement 74 Proposition de règlement Considérant 110 | |
|
Texte proposé par la Commission |
Amendement |
|
(110) Un comité européen de la protection des données devrait être créé au niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE. Il devrait se composer d'un directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données. La Commission devrait participer à ses activités. Le comité européen de la protection des données devrait contribuer à l'application cohérente du présent règlement dans toute l'Union, notamment en conseillant la Commission et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union. Il devrait exercer ses fonctions en toute indépendance. |
(110) Un comité européen de la protection des données devrait être créé au niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE. Il devrait se composer d'un directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données. Le comité européen de la protection des données devrait contribuer à l'application cohérente du présent règlement dans toute l'Union, notamment en conseillant les institutions de l'Union et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, y compris la coordination des opérations conjointes. Il devrait exercer ses fonctions en toute indépendance. Le comité européen de la protection des données devrait renforcer le dialogue avec les parties intéressées telles que les associations de personnes concernées, les organisations de consommateurs, les responsables du traitement et les autres parties et experts concernés. |
Amendement 75 Proposition de règlement Considérant 111 | |
|
Texte proposé par la Commission |
Amendement |
|
(111) Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours si elle estime que les droits que lui confère le présent règlement ne sont pas respectés, si l'autorité de contrôle ne réagit pas à une réclamation ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée. |
(111) Les personnes concernées devraient avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et le droit de former un recours juridictionnel effectif conformément à l'article 47 de la charte des droits fondamentaux si elles estiment que les droits que leur confère le présent règlement ne sont pas respectés, si l'autorité de contrôle ne réagit pas à une réclamation ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits des personnes concernées. |
Amendement 76 Proposition de règlement Considérant 112 | |
|
Texte proposé par la Commission |
Amendement |
|
(112) Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données et qui est constitué(e) conformément au droit d'un État membre devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle ou d'exercer le droit de recours au nom de personnes concernées, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel a été commise. |
(112) Tout organisme, organisation ou association qui œuvre dans l'intérêt général et qui est constitué(e) conformément au droit d'un État membre devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle au nom des personnes concernés avec leur consentement, ou d'exercer le droit de recours s'il ou elle est mandaté(e) par les personnes concernées, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation du présent règlement a été commise. |
Amendement 77 Proposition de règlement Considérant 114 | |
|
Texte proposé par la Commission |
Amendement |
|
(114) Afin de renforcer la protection judiciaire de la personne concernée dans les cas où l'autorité de contrôle compétente est établie dans un autre État membre que celui dans lequel la personne concernée réside, cette dernière peut demander à tout organisme, organisation ou association œuvrant à la protection des droits et intérêts des personnes concernées en vue de protéger leurs données à caractère personnel, d'intenter, pour son compte, un recours contre l'autorité de contrôle en question devant la juridiction compétente de l'autre État membre. |
(114) Afin de renforcer la protection judiciaire de la personne concernée dans les cas où l'autorité de contrôle compétente est établie dans un autre État membre que celui dans lequel la personne concernée réside, cette dernière peut donner mandat à tout organisme, organisation ou association œuvrant dans l'intérêt général pour intenter un recours contre l'autorité de contrôle en question devant la juridiction compétente de l'autre État membre. |
Amendement 78 Proposition de règlement Considérant 115 | |
|
Texte proposé par la Commission |
Amendement |
|
(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande. |
(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. Cela ne s'applique pas aux personnes ne résidant pas dans l'Union européenne. L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande. |
Amendement 79 Proposition de règlement Considérant 116 | |
|
Texte proposé par la Commission |
Amendement |
|
(116) En ce qui concerne les recours à l'encontre d'un responsable du traitement ou d'un sous-traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous-traitant a un établissement ou dans l'État membre dans lequel la personne concernée réside, sauf si le responsable du traitement est une autorité publique agissant dans l'exercice de la puissance publique. |
(116) En ce qui concerne les recours à l'encontre d'un responsable du traitement ou d'un sous-traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous-traitant a un établissement ou, lorsque la personne concernée réside dans l'Union, dans l'État membre dans lequel elle réside, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l'exercice de la puissance publique. |
Amendement 80 Proposition de règlement Considérant 118 | |
|
Texte proposé par la Commission |
Amendement |
|
(118) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. |
(118) Tout dommage, de nature financière ou non, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui ne peut cependant s'exonérer de sa responsabilité que s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. |
Amendement 81 Proposition de règlement Considérant 119 | |
|
Texte proposé par la Commission |
Amendement |
|
(119) Toute personne de droit privé ou de droit public qui ne respecte pas le présent règlement devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application. |
(119) Toute personne de droit privé ou de droit public qui ne respecte pas le présent règlement devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application. Les règles relatives aux sanctions devraient être assorties de garanties procédurales adéquates en conformité avec les principes généraux du droit de l'Union et la charte des droits fondamentaux, y compris le droit de former un recours juridictionnel effectif, le droit à un procès équitable et le principe "ne bis in idem". |
Amendement 82 Proposition de règlement Considérant 119 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(119 bis) Lorsqu'ils appliquent des sanctions les États membres devraient s'attacher à respecter pleinement les garanties procédurales adéquates, y compris le droit de former un recours juridictionnel effectif, le droit à un procès équitable et le principe "ne bis in idem". |
Amendement 83 Proposition de règlement Considérant 121 | |
|
Texte proposé par la Commission |
Amendement |
|
(121) Le traitement de données à caractère personnel à des fins uniquement journalistiques ou aux fins d'expression artistique ou littéraire devrait pouvoir bénéficier d'une dérogation à certaines dispositions du présent règlement, pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l'article 11 de la charte des droits fondamentaux de l'Union européenne. Ceci devrait notamment s'appliquer aux traitements de données à caractère personnel dans le domaine de l'audiovisuel et dans les documents d'archives et bibliothèques de journaux. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable des données et le sous-traitant, le transfert des données vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, et la coopération et la cohérence. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins des exemptions et dérogations à établir en vertu du présent règlement, les États membres devraient qualifier de «journalistiques» les activités ayant pour objet de communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas. |
(121) Si nécessaire, des exemptions ou des dérogations aux exigences de certaines dispositions du présent règlement pour le traitement de données à caractère personnel devraient être prévues, pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l'article 11 de la charte des droits fondamentaux de l'Union européenne. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable des données et le sous-traitant, le transfert des données vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, la coopération et la cohérence, et dans des cas spécifiques de traitement de données. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, afin de couvrir l'ensemble des activités tendant à communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre, en tenant également compte de l'évolution des technologies. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas. |
Amendement 84 Proposition de règlement Considérant 122 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(122 bis) Un professionnel qui traite des données à caractère personnel relatives à la santé devrait recueillir, dans la mesure du possible, des données anonymes ou protégées par un pseudonyme, de sorte à ce que l'identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données. |
Amendement 85 Proposition de règlement Considérant 123 | |
|
Texte proposé par la Commission |
Amendement |
|
(123) Le traitement de données à caractère personnel concernant la santé peut être nécessaire pour des raisons d'intérêt général dans les domaines de la santé publique, et sans le consentement de la personne concernée. Dans ce contexte, la notion de «santé publique» s'interprète selon la définition prévue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail, et désigne l'ensemble des éléments liés à la santé, à savoir, l'état de santé, y compris le décès et le handicap, les éléments déterminant cet état de santé, les besoins en soins de santé, les ressources allouées aux soins de santé, l'offre de soin et l'accès universel à ces soins ainsi que les dépenses et le financement des soins de santé et les causes de décès. Ces traitements de données à caractère personnel concernant la santé autorisés pour des motifs d'intérêt général ne doivent pas aboutir à ce que ces données soient traitées à d'autres fins par des tiers, tels que les employeurs, les compagnies d'assurance et les banques. |
(123) Le traitement de données à caractère personnel concernant la santé peut être nécessaire pour des raisons d'intérêt général dans les domaines de la santé publique, et sans le consentement de la personne concernée. Dans ce contexte, la notion de "santé publique" s'interprète selon la définition prévue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil1, et désigne l'ensemble des éléments liés à la santé, à savoir, l'état de santé, y compris le décès et le handicap, les éléments déterminant cet état de santé, les besoins en soins de santé, les ressources allouées aux soins de santé, l'offre de soin et l'accès universel à ces soins ainsi que les dépenses et le financement des soins de santé et les causes de décès. |
|
|
Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70). |
Amendement 86 Proposition de règlement Considérant 123 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(123 bis) Le traitement des données à caractère personnel concernant la santé, en tant que catégorie particulière de données, peut être nécessaire à des fins de recherche historique, statistique ou scientifique. Le présent règlement prévoit donc une dérogation à l'exigence de consentement dans les cas où la recherche sert un intérêt général élevé. |
Amendement 87 Proposition de règlement Considérant 124 | |
|
Texte proposé par la Commission |
Amendement |
|
(124) Les principes généraux concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel devraient également être applicables dans le contexte de l'emploi. En conséquence, pour réglementer le traitement des données à caractère personnel des salariés dans ce contexte, les États membres devraient pouvoir, dans les limites du présent règlement, adopter par voie législative des règles spécifiques au traitement des données à caractère personnel dans le secteur de l'emploi. |
(124) Les principes généraux concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel devraient également être applicables dans le contexte de l'emploi et de la sécurité sociale. Les États membres devraient pouvoir réglementer le traitement des données à caractère personnel des salariés et le traitement des données à caractère personnel dans le contexte de la sécurité sociale, en veillant au respect des règles et normes minimales fixées dans le présent règlement. Dans la mesure où il existe, dans l'État membre concerné, une base juridique qui permet de réglementer les affaires relevant des relations de travail par une convention entre les représentants des salariés et la direction de l'entreprise ou de l'entreprise qui exerce le contrôle d'un groupe (convention collective) ou conformément à la directive 2009/38/CE du Parlement européen et du Conseil1, le traitement des données à caractère personnel dans le contexte des relations de travail peut également être réglementé par une telle convention. |
|
|
1 Directive 2009/38/CE du Parlement européen et du Conseil du 6 mai 2009 concernant l'institution d'un comité d'entreprise européen ou d'une procédure dans les entreprises de dimension communautaire et les groupes d'entreprises de dimension communautaire en vue d'informer et de consulter les travailleurs (JO L 122 du 16.5.2009, p. 28). |
Amendement 88 Proposition de règlement Considérant 125 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(125 bis) Les données à caractère personnel peuvent également faire l'objet d'un traitement ultérieur par des services d'archive qui ont pour mission principale ou obligatoire de collecter, conserver, communiquer, exploiter et diffuser des archives dans l'intérêt général. La législation des États membres devrait concilier le droit à la protection des données à caractère personnel avec la règlementation régissant les archives et l'accès des citoyens à l'information administrative. Les États membres devraient encourager l'élaboration, en particulier par le Groupe européen d'archives, de règles visant à garantir la confidentialité des données vis-à-vis des tiers et l'authenticité, l'intégrité et la bonne conservation des données. |
Amendement 89 Proposition de règlement Considérant 126 | |
|
Texte proposé par la Commission |
Amendement |
|
(126) Aux fins du présent règlement, la notion de «recherche scientifique» devrait comprendre la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et devrait en outre tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. |
(126) Aux fins du présent règlement, la notion de "recherche scientifique" devrait comprendre la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et devrait en outre tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Le traitement de données à caractère personnel à des fins de recherche historique, statistique et scientifique ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre. |
Amendement 90 Proposition de règlement Considérant 128 | |
|
Texte proposé par la Commission |
Amendement |
|
(128) Conformément à l'article 17 du traité sur le fonctionnement de l'Union européenne, le présent règlement respecte et ne préjuge pas du statut dont bénéficient, en vertu du droit national, les églises et les associations ou communautés religieuses dans les États membres. Il s'ensuit que si, dans un État membre, une église applique, à la date d'entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, ces règles existantes devraient continuer de s'appliquer si elles sont mises en conformité avec les dispositions du présent règlement. Ces églises et les associations religieuses devraient être tenues d'instituer une autorité de contrôle totalement indépendante. |
(128) Conformément à l'article 17 du traité sur le fonctionnement de l'Union européenne, le présent règlement respecte et ne préjuge pas du statut dont bénéficient, en vertu du droit national, les églises et les associations ou communautés religieuses dans les États membres. Il s'ensuit que si, dans un État membre, une église applique, à la date d'entrée en vigueur du présent règlement, un ensemble adéquat de règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, ces règles existantes devraient continuer de s'appliquer si elles sont mises en conformité avec les dispositions du présent règlement et reconnues conformes. |
Amendement 91 Proposition de règlement Considérant 129 | |
|
Texte proposé par la Commission |
Amendement |
|
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les transferts encadrés par des règles d'entreprise contraignantes; les dérogations relatives aux transferts; les sanctions administratives; les traitements à des fins médicales; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la spécification des conditions du mode de description fondé sur des icônes pour la fourniture d'informations; le droit à l'effacement; la déclaration de la conformité des codes de conduite avec le règlement; les critères et exigences applicables aux mécanismes de certification; le niveau adéquat de protection offert par un pays tiers ou par une organisation internationale; les transferts encadrés par des règles d'entreprise contraignantes; les sanctions administratives; le traitement de données à des fins sanitaires et le traitement de données dans le cadre de l'emploi. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts, en particulier avec le comité européen de la protection des données. Lorsqu'elle prépare et élabore des actes délégués, il convient que la Commission veille à ce que tous les documents utiles soient transmis en temps voulu, de façon appropriée et simultanée, au Parlement européen et au Conseil. |
Amendement 92 Proposition de règlement Considérant 130 | |
|
Texte proposé par la Commission |
Amendement |
|
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs à des méthodes particulières d'obtention du consentement vérifiable en lien avec le traitement des données à caractère personnel des enfants; des formulaires types pour communiquer aux personnes concernées des informations sur l'exercice de leurs droits; des formulaires types pour l'information de la personne concernée; des formulaires types concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; des formulaires types concernant la documentation devant être conservée par le responsable du traitement et le sous-traitant; le formulaire type pour la communication des violations de données à caractère personnel à l'autorité de contrôle et pour la consignation des violations de données à caractère personnel; des formulaires de consultation et d'information préalables des autorités de contrôle. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil1. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
|
|
1 Règlement (UE) n° 182/2011 du Parlement Européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
Amendement 93 Proposition de règlement Considérant 131 | |
|
Texte proposé par la Commission |
Amendement |
|
(131) La procédure d'examen devrait être appliquée pour l'établissement des formulaires types en vue de l'obtention du consentement d'un enfant; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes sont de portée générale. |
(131) La procédure d'examen devrait être appliquée pour l'adoption de formulaires types: des formulaires types relatifs aux méthodes particulières d'obtention du consentement vérifiable en lien avec le traitement des données à caractère personnel des enfants; des formulaires types pour communiquer aux personnes concernées des informations sur l'exercice de leurs droits; des formulaires types pour l'information de la personne concernée; des formulaires types concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; des formulaires types concernant la documentation devant être conservée par le responsable du traitement et le sous-traitant; le formulaire type pour la communication des violations de données à caractère personnel à l'autorité de contrôle et pour la consignation des violations de données à caractère personnel; des formulaires de consultation et d'information préalables de l'autorité de contrôle, puisque ces actes sont de portée générale. |
Amendement 94 Proposition de règlement Considérant 132 | |
|
Texte proposé par la Commission |
Amendement |
|
(132) La Commission devrait adopter des actes d'exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, ou un territoire ou secteur de traitement de données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, ou concernant des questions communiquées par les autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence, des raisons d'urgence impérieuses l'exigent. |
supprimé |
Amendement 95 Proposition de règlement Considérant 134 | |
|
Texte proposé par la Commission |
Amendement |
|
(134) La directive 95/46/CE devrait être abrogée par le présent règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et les autorisations qui ont été accordées par les autorités de contrôle, sur le fondement de ladite directive devraient demeurer en vigueur. |
(134) La directive 95/46/CE devrait être abrogée par le présent règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et les autorisations qui ont été accordées par les autorités de contrôle, sur le fondement de ladite directive devraient demeurer en vigueur. Les décisions de la Commission et les autorisations accordées par les autorités de contrôle relatives aux transferts de données à caractère personnel vers des pays tiers conformément à l'article 41, paragraphe 8, devraient demeurer en vigueur pour une période transitoire de cinq ans après l'entrée en vigueur du présent règlement à moins qu'elles ne soit modifiées, remplacées ou abrogées par la Commission avant la fin de cette période. |
Amendement 96 Proposition de règlement Article 2 | |
|
Texte proposé par la Commission |
Amendement |
|
Champ d'application matériel |
Champ d'application matériel |
|
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. |
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, quel que soit le moyen de traitement, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. |
|
2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel: |
2. Le présent règlement ne s'applique pas au traitement de données à caractère personnel: |
|
a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale; |
a) dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union; |
|
b) par les institutions, organes et organismes de l'Union; |
|
|
c) par les États membres dans l'exercice d'activités qui relèvent du champ d'application du chapitre 2 du traité sur l'Union européenne; |
c) par les États membres dans l'exercice d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne; |
|
d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques; |
d) par une personne physique dans le cadre de ses activités exclusivement personnelles ou domestiques. Cette dérogation s'applique également à une publication de données à caractère personnel lorsqu'il peut raisonnablement être escompté que seul un nombre limité de personnes y aura accès. |
|
e) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales. |
e) par les autorités publiques compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales. |
|
3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires. |
3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires. |
Amendement 97 Proposition de règlement Article 3 | |
|
Texte proposé par la Commission |
Amendement |
|
Champ d'application territorial |
Champ d'application territorial |
|
1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union. |
1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou pas dans l'Union. |
|
2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: |
2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: |
|
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou |
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées; ou |
|
b) à l'observation de leur comportement. |
b) à l'observation de ces personnes concernées. |
|
3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation nationale d'un État membre s'applique en vertu du droit international public. |
3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation nationale d'un État membre s'applique en vertu du droit international public. |
Amendement 98 Proposition de règlement Article 4 | |
|
Texte proposé par la Commission |
Amendement |
|
Définitions |
Définitions |
|
Aux fins du présent règlement, on entend par: |
Aux fins du présent règlement, on entend par: |
|
1) «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
|
|
2) «données à caractère personnel»: toute information se rapportant à une personne concernée; |
2) "données à caractère personnel": toute information se rapportant à une personne physique identifiée ou identifiable (la "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, par exemple à un nom, à un numéro d'identification, à des données de localisation, à un identifiant unique ou à un ou plusieurs éléments spécifiques, propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne; |
|
|
2 bis) "données pseudonymes": des données à caractère personnel qui ne peuvent pas être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution; |
|
|
2 ter) "données cryptées": des données à caractère personnel qui sont rendues inintelligibles par des mesures de protection technologique pour toute personne qui n'est pas autorisée à y avoir accès; |
|
3) «traitement de données à caractère personnel»: toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction; |
3) "traitement de données à caractère personnel": toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés, et appliquée(s) à des données à caractère personnel, telle(s) que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction; |
|
|
3 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement; |
|
4) «fichier»: tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique; |
4) "fichier": tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique; |
|
5) «responsable du traitement»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
|
6) «sous-traitant»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; |
6) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; |
|
(7) «destinataire»: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel; |
(7) "destinataire": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel; |
|
|
7 bis) "tiers": toute personne physique ou morale, autorité publique, service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données; |
|
8) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement; |
8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement; |
|
9) «violation de données à caractère personnel»: une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière; |
9) "violation de données à caractère personnel": la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d'une autre manière; |
|
10) «données génétiques»: toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal; |
10) "données génétiques": toutes les données à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises, résultant d'une analyse d'un échantillon biologique de la personne en question, notamment par une analyse des chromosomes, de l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou d'une analyse de tout autre élément permettant d'obtenir des informations équivalentes; |
|
11) «données biométriques»: toutes les données relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques; |
11) "données biométriques": toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques; |
|
12) «données concernant la santé»: toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne; |
12) "données concernant la santé": toutes données à caractère personnel relatives à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne; |
|
13) «établissement principal»: en ce qui concerne le responsable du traitement, le lieu de son établissement dans l'Union où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; si aucune décision de ce type n'est prise dans l'Union, l'établissement principal est le lieu où sont exercées les principales activités de traitement dans le cadre des activités d'un établissement d'un responsable du traitement dans l'Union; en ce qui concerne le sous-traitant, on entend par «établissement principal» le lieu de son administration centrale dans l'Union; |
13) "établissement principal": le lieu de l'établissement de l'entreprise ou du groupe d'entreprises dans l'Union, qu'il s'agisse du responsable du traitement ou du sous-traitant, où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; Il peut être notamment tenu compte des critères objectifs suivants: la localisation du siège du responsable du traitement ou du sous-traitant; la localisation de l'entité au sein du groupe d'entreprises qui est la mieux placée en termes de fonctions de direction et de responsabilités administratives pour s'occuper des règles exposées dans le présent règlement et les faire appliquer; la localisation où les activités effectives et réelles de direction sont exercées, et qui déterminent le traitement des données dans le cadre d'une installation stable; |
|
14) «représentant»: toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit en lieu et place de ce dernier et peut être contactée à sa place par les autorités de contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement; |
14) "représentant": toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui représente ce dernier, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement; |
|
15) «entreprise»: toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique; |
15) "entreprise": toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique; |
|
16) «groupe d'entreprises»: une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle; |
16) "groupe d'entreprises": une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle; |
|
17) «règles d'entreprise contraignantes»: les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre de l'Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises; |
17) "règles d'entreprise contraignantes": les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre de l'Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises; |
|
18) «enfant»: toute personne âgée de moins de dix-huit ans; |
18) "enfant": toute personne âgée de moins de dix-huit ans; |
|
19) «autorité de contrôle»: une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 46. |
19) "autorité de contrôle": une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 46. |
Amendement 99 Proposition de règlement Article 5 | |
|
Texte proposé par la Commission |
Amendement |
|
Principes relatifs au traitement des données à caractère personnel |
Principes relatifs au traitement des données à caractère personnel |
|
Les données à caractère personnel doivent être: |
Les données à caractère personnel sont: |
|
a) traitées de manière licite, loyale et transparente au regard de la personne concernée; |
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence); |
|
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités; |
b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (limitation de la finalité); |
|
c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel (limitation des données au minimum); |
|
d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai; |
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (exactitude); |
|
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
e) conservées sous une forme permettant l'identification directe ou indirecte des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique ou pour être archivées conformément aux règles et aux conditions énoncées à l'article 83 et à l'article 83 bis et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation et, le cas échéant, que des mesures techniques et organisationnelles sont mises en place afin de limiter l'accès aux données à ces seules fins (minimisation de la durée de conservation); |
|
|
e bis) traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits (effectivité); |
|
|
e ter) traités de façon à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité); |
|
f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporte la preuve. |
f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité avec les dispositions du présent règlement et est en mesure d'en apporter la preuve (responsabilité). |
Amendement 100 Proposition de règlement Article 6 | |
|
Texte proposé par la Commission |
Amendement |
|
Licéité du traitement |
Licéité du traitement |
|
1. Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l'une au moins des situations suivantes s'applique: |
1. Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l'une au moins des situations suivantes s'applique: |
|
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
|
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; |
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; |
|
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; |
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; |
|
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée; |
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée; |
|
e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; |
e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; |
|
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou, en cas de divulgation, par le tiers à qui les données sont divulguées, et il satisfait les attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
|
2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83. |
2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83. |
|
3. Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans: |
3. Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans: |
|
a) le droit de l'Union, ou |
a) le droit de l'Union, ou |
|
b) la législation de l'État membre à laquelle le responsable du traitement des données est soumis. |
b) la législation de l'État membre à laquelle le responsable du traitement des données est soumis. |
|
La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi. |
La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi. Dans les limites du présent règlement, la législation de l'État membre peut fournir des détails relatifs à la licéité du traitement, en particulier concernant les responsables du traitement, la finalité du traitement et la conformité à cette finalité, le type de données et les personnes concernées, les opérations et procédures de traitement, les destinataires, ainsi que la durée de conservation. |
|
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
|
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. |
|
Amendement 101 Proposition de règlement Article 7 | |
|
Texte proposé par la Commission |
Amendement |
|
Conditions de consentement |
Conditions de consentement |
|
1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement. |
1. Lorsque le traitement est basé sur le consentement, la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement. |
|
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire. |
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître clairement sous une forme qui le distingue de cette autre affaire. Les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le présent règlement sont entièrement nulles. |
|
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. |
3. Sans préjudice des autres bases juridiques pour le traitement, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Il devrait être aussi simple de retirer son consentement que de le donner. la personne concernée est informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement. |
|
4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement. |
4. Le consentement est lié à la finalité et devient caduc lorsque cette finalité n'existe plus ou dès que le traitement des données à caractère personnel n'est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées. L'exécution d'un contrat ou la fourniture d'un service n'est pas soumise à la condition préalable du consentement au traitement des données qui ne sont pas nécessaires à l'exécution du contrat ou à la fourniture du service, conformément à l'article 6, paragraphe 1, point b). |
Amendement 102 Proposition de règlement Article 8 | |
|
Texte proposé par la Commission |
Amendement |
|
Traitement de données à caractère personnel relatives aux enfants |
Traitement de données à caractère personnel relatives aux enfants |
|
1. Aux fins du présent règlement, s'agissant de l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles. |
1. Aux fins du présent règlement, s'agissant de l'offre directe de biens ou de services aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par son tuteur légal. Le responsable du traitement s'efforce raisonnablement de vérifier le consentement, compte tenu des moyens techniques disponibles, sans pour autant entraîner de traitement inutile de données à caractère personnel. |
|
|
1 bis. Les informations fournies aux enfants, aux parents et aux tuteurs légaux, y compris en ce qui concerne la collecte et l'utilisation des données par le responsable du traitement, devraient être communiquées dans des termes clairs adaptés au public visé. |
|
2. Le paragraphe 1 n'affecte pas la législation générale des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant. |
2. Le paragraphe 1 n'affecte pas la législation générale des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l'égard d'un enfant. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux méthodes d'obtention du consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. |
3. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques applicables aux méthodes de vérification du consentement visé au paragraphe 1, conformément à l'article 66. |
|
4. La Commission peut établir des formulaires types pour les méthodes particulières d'obtention du consentement vérifiable prévu au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 103 Proposition de règlement Article 9 | |
|
Texte proposé par la Commission |
Amendement |
|
Traitements portant sur des catégories particulières de données à caractère personnel |
Catégories particulières de données |
|
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, aux sanctions administratives, aux jugements, à des infractions pénales ou à des suspicions, à des condamnations, ou encore à des mesures de sûreté connexes sont interdits. |
|
2. Le paragraphe 1 ne s'applique pas lorsque: |
2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie: |
|
a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; ou |
a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel à une ou plusieurs fins spécifiques, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée, ou |
|
|
a bis) le traitement est nécessaire aux prestations ou à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; |
|
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale prévoyant des garanties appropriées; ou |
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale ou par des conventions collectives prévoyant des garanties appropriées protégeant les droits fondamentaux et les intérêts de la personne concernée, tels que le droit à la non-discrimination, sous réserve des conditions et des garanties prévues à l'article 82; ou |
|
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou |
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou |
|
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou |
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou |
|
e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou |
e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou |
|
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou |
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou |
|
g) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général sur le fondement du droit de l'Union ou d'un État membre, qui doit prévoir des mesures appropriées à la sauvegarde des intérêts légitimes de la personne concernée; ou |
g) le traitement est nécessaire à l'exécution d'une mission effectuée pour des raisons servant un intérêt général élevé, sur le fondement du droit de l'Union ou d'un État membre, qui doit être proportionné à l'objectif poursuivi, respecter l'esprit du droit à la protection des données et prévoir des mesures adéquates pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée; ou |
|
h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81; ou |
h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81; ou |
|
i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou |
i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou |
|
|
i bis) le traitement est nécessaire pour des services d'archives, sous réserve des conditions et des garanties prévues à l'article 83 bis; ou |
|
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
j) le traitement des données relatives aux sanctions administratives, aux jugements, aux infractions pénales, aux condamnations ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates pour les droits fondamentaux et les intérêts de la personne concernée. Tout registre des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2. |
3. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2, conformément à l'article 66. |
Amendement 104 Proposition de règlement Article 10 | |
|
Texte proposé par la Commission |
Amendement |
|
Si les données traitées par un responsable du traitement ne lui permettent pas d'identifier une personne physique, le responsable du traitement n'est pas tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. |
1. Si les données traitées par un responsable du traitement ne lui permettent pas, ou ne permettent pas à son sous-traitant, d'identifier directement ou indirectement une personne physique, ou consistent uniquement en des données pseudonymes, le responsable du traitement ne traite ni n'obtient des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. |
|
|
2. Lorsque le responsable du traitement n'est pas en mesure de se conformer à une disposition du présent règlement en raison du paragraphe 1, il n'est pas tenu de le faire. Lorsque, de ce fait, le responsable du traitement n'est pas en mesure de satisfaire à une demande de la personne concernée, il en informe cette dernière. |
Amendement 105 Proposition de règlement Article 10 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 10 bis |
|
|
Principes généraux en matière de droits des personnes concernées |
|
|
1. Les droits clairs et univoques d'une personne concernée devant être respectés par le responsable du traitement constituent le fondement de la protection des données. Les dispositions du présent règlement visent à renforcer, clarifier, garantir et, le cas échéant, codifier ces droits. |
|
|
2. Ces droits incluent, notamment, la fourniture d'informations claires et aisément compréhensibles quant au traitement de ses données à caractère personnel, le droit d'accéder à ses données, de les rectifier ou de les effacer, le droit d'obtenir des données, le droit de s'opposer au profilage, le droit de déposer une réclamation auprès de l'autorité de protection des données compétente et d'engager une action en justice, ainsi que le droit d'obtenir réparation et de percevoir une indemnisation en cas d'opération de traitement illégale. Ces droits peuvent en général être exercés sans frais. Le responsable du traitement répond aux demandes de la personne concernée dans un délai raisonnable. |
Amendement 106 Proposition de règlement Article 11 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement applique des règles internes transparentes et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et en vue de l'exercice de leurs droits par les personnes concernées. |
1. Le responsable du traitement applique des règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et en vue de l'exercice de leurs droits par les personnes concernées. |
|
2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, adaptés à la personne concernée, en particulier lorsqu'une information est adressée spécifiquement à un enfant. |
2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant. |
Amendement 107 Proposition de règlement Article 12 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement établit les procédures d'information prévues à l'article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l'introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. |
1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique lorsque cela est possible. |
|
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. Le responsable du traitement informe la personne concernée sans retard injustifié et, au plus tard, dans un délai de 40 jours civils à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit et, lorsque cela est possible, le responsable du traitement des données peut donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement à ses données à caractère personnel. Lorsque la personne concernée en fait la demande sous forme électronique et lorsque cela est possible, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
|
3. Si le responsable du traitement refuse de prendre des mesures demandées par la personne concernée, il informe cette dernière des motifs du refus, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. |
3. Si le responsable du traitement ne prend pas les mesures demandées par la personne concernée, il informe cette dernière des motifs de son inaction, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel. |
|
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui reflètent les coûts administratifs nécessaires pour fournir les informations ou pour prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4. |
|
|
6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 108 Proposition de règlement Article 13 | |
|
Texte proposé par la Commission |
Amendement |
|
Droits à l'égard des destinataires |
Obligation de notifier les rectifications et les effacements |
|
Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification ou effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. |
Le responsable du traitement communique à chaque destinataire à qui les données ont été transférées toute rectification ou tout effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de ces destinataires si celle-ci en fait la demande. |
Amendement 109 Proposition de règlement Article 13 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 13 bis |
|
|
Politiques d'information normalisées |
|
|
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement informe la personne concernée des éléments suivants avant de fournir les informations visées à l'article 14: |
|
|
a) les données à caractère personnel sont collectées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement; |
|
|
b) les données à caractère personnel sont conservées ou non au-delà du minimum nécessaire pour chaque objectif spécifique du traitement; |
|
|
c) les données à caractère personnel sont traitées ou non à des fins autres que celles de leur collecte; |
|
|
d) les données à caractère personnel sont divulguées à des tiers commerciaux; |
|
|
e) les données à caractère personnel sont vendues ou louées ou non; |
|
|
f) les données à caractère personnel sont conservées ou non sous forme cryptée. |
|
|
2. Les éléments visés au paragraphe 1 sont présentés conformément à l'annexe X sous la forme d'un tableau aligné, au moyen de texte et de pictogrammes, dans les trois colonnes suivantes: |
|
|
a) la première colonne représente les formes graphiques symbolisant ces éléments; |
|
|
b) la deuxième colonne contient des informations essentielles décrivant ces éléments; |
|
|
c) la troisième colonne représente les formes graphiques indiquant si la réponse à un élément spécifique est affirmative ou négative. |
|
|
3. Les informations visées aux paragraphes 1 et 2 sont présentées de manière visible et facilement lisible et dans un langage aisément compris par les consommateurs des États membres auxquels les informations sont fournies. Lorsque les éléments sont présentés par voie électronique, ils sont lisibles par machine. |
|
|
4. Il convient de ne pas fournir d'éléments supplémentaires. Des explications détaillées ou des remarques supplémentaires concernant les éléments visés au paragraphe 1 peuvent être fournies en même temps que les autres informations requises conformément à l'article 14. |
|
|
5. La Commission est habilitée, après avoir demandé un avis du comité européen de la protection des données, à adopter des actes délégués conformément à l'article 86, aux fins de préciser davantage les éléments visés au paragraphe 1 ainsi que leur présentation telle qu'indiquée au paragraphe 2 et à l'annexe 1. |
Amendement 110 Proposition de règlement Article 14 | |
|
Texte proposé par la Commission |
Amendement |
|
Informations à fournir la personne concernée |
Informations à fournir la personne concernée |
|
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne au moins les informations suivantes: |
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne à tout le moins les informations suivantes, après qu'elle ait été informée des éléments visés à l'article 13 bis: |
|
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données; |
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données; |
|
b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l'article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f); |
b) les finalités spécifiques du traitement auquel sont destinées les données à caractère personnel ainsi que les informations relatives à la sécurité et au traitement des données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l'article 6, paragraphe 1, point b), et, le cas échéant, les informations relatives à la façon dont sont mises en œuvre et satisfaites les exigences visées à l'article 6, paragraphe 1, point f); |
|
c) la durée pendant laquelle les données à caractère personnel seront conservées; |
c) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée; |
|
d) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données; |
d) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données, ou d'obtenir des données; |
|
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
|
f) les destinataires ou les catégories de destinataires des données à caractère personnel; |
f) les destinataires ou les catégories de destinataires des données à caractère personnel; |
|
g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers ou l'organisation internationale en question, par référence à une décision relative au caractère adéquat du niveau de protection rendue par la Commission; |
g) le cas échéant, son intention d'effectuer un transfert de données vers un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision relative au caractère adéquat rendue par la Commission, ou, dans le cas des transferts visés à l'article 42, à l'article 43 ou à l'article 44, paragraphe 1, point h), la référence aux garanties appropriées et les moyens d'en obtenir une copie; |
|
|
g bis) le cas échéant, des informations relatives à l'existence d'un profilage, de mesures fondées sur le profilage et aux effets escomptés du profilage sur la personne concernée; |
|
|
h bis) des informations intelligibles relatives à la logique qui sous-tend tout traitement automatisé; |
|
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées. |
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées ou traitées, notamment l'existence de certaines activités et opérations de traitement pour lesquelles une analyse d'impact sur les données à caractère personnel a fait état d'un risque élevé; |
|
|
h bis) le cas échéant, des informations indiquant si les données à caractère personnel ont été fournies aux autorités publiques au cours de la dernière période de 12 mois consécutifs. |
|
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données. |
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données. |
|
|
2 bis. En se prononçant sur les informations supplémentaires qui doivent être nécessairement fournies pour que traitement soit loyal conformément au paragraphe 1, point h), les responsables du traitement tiennent compte des lignes directrices applicables énoncées à l'article 38. |
|
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel. |
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données spécifiques à caractère personnel. Si les données à caractère personnel émanent de sources accessibles au public, une indication générale peut être donnée. |
|
4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3: |
4. Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3: |
|
a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou |
a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée ou, si cela n'est pas possible, sans retard injustifié; ou |
|
|
a bis) sur demande d'un organe, d'une organisation ou d'une association visé à l'article 73; |
|
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois. |
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si un transfert vers un autre destinataire est envisagé, et au plus tard au moment du premier transfert ou, si les données doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne; ou |
|
|
b bis) uniquement sur demande lorsque les données sont traitées par une petite ou micro-entreprise qui ne traite des données qu'à titre accessoire. |
|
5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque: |
5. Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque: |
|
a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3; ou |
a) la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3; ou |
|
b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés; ou |
b) les données sont traitées à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et garanties visées aux articles 81 et 83, ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés, et que le responsable du traitement a publié les informations afin que toute personne soit en mesure de les retrouver; ou |
|
c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation; ou |
c) les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation à laquelle le responsable du traitement est soumis et qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, en tenant compte des risques que représentent le traitement et la nature des données à caractère personnel; ou |
|
d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21. |
d) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autres personnes physiques tels qu'ils sont définis dans le droit de l'Union ou le droit des États membres, conformément à l'article 21; |
|
|
d bis) les données sont traitées par une personne soumise à une obligation de secret professionnel réglementée par le droit de l'Union ou d'un État membre ou à un devoir légal de confidentialité et lui sont confiées ou sont portées à sa connaissance dans le cadre de sa profession, à moins que les données ne soient collectées directement auprès de la personne concernée. |
|
6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les intérêts légitimes de la personne concernée. |
6. Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protéger les droits ou les intérêts légitimes de la personne concernée. |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. |
|
|
8. La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 111 Proposition de règlement Article 15 | |
|
Texte proposé par la Commission |
Amendement |
|
Droit d'accès de la personne concernée |
Droit de la personne concernée d'accéder aux données ou de les obtenir |
|
1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes: |
1. Conformément à l'article 12, paragraphe 4, la personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées, et dans un langage clair et simple, les informations suivantes: |
|
a) les finalités du traitement; |
a) les finalités du traitement pour chaque catégorie de données à caractère personnel; |
|
b) les catégories de données à caractère personnel concernées; |
b) les catégories de données à caractère personnel concernées; |
|
c) les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particulier lorsque les destinataires sont établis dans des pays tiers; |
c) les destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, notamment lorsque les destinataires sont établis dans des pays tiers; |
|
d) la durée pendant laquelle les données à caractère personnel seront conservées; |
d) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée; |
|
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données; |
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données; |
|
f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
|
g) la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l'origine de ces données; |
|
|
h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20. |
h) l'importance et les conséquences envisagées de ce traitement. |
|
|
h bis) des informations utiles relatives à la logique qui sous-tend tout traitement automatisé; |
|
|
h ter) sans préjudice de l'article 21, lorsque des données à caractère personnel ont été divulguées à une autorité publique à la demande de cette dernière, la confirmation qu'une telle demande a bien eu lieu. |
|
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies dans un format électronique structuré, à moins que la personne concernée ne demande qu'il en soit autrement. Sans préjudice de l'article 10, le responsable du traitement prend toutes les mesures raisonnables pour vérifier que la personne demandant l'accès aux données est la personne concernée. |
|
|
2 bis. Lorsque les données à caractère personnel ont été communiquées par la personne concernée et que ces données font l'objet d'un traitement automatisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données à caractère personnel communiquées dans un format électronique interopérable qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle. Lorsque cela est techniquement réalisable et matériellement possible, les données sont transférées directement d'un responsable du traitement à un autre à la demande de la personne concernée. |
|
|
2 ter. Le présent article est sans préjudice de l'obligation de suppression des données devenues inutiles en vertu de l'article 5, paragraphe 1, point e). |
|
|
2 quater. Il n'existe aucun droit d'accès conformément aux paragraphes 1 et 2 lorsque des données au sens de l'article 14, paragraphe 5, point d bis), sont visées, à moins que la personne concernée n'ait le pouvoir de lever le secret en question et agit en ce sens. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g). |
|
|
4. La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l'identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 112 Proposition de règlement Article 17 | |
|
Texte proposé par la Commission |
Amendement |
|
Droit à l'oubli numérique et à l'effacement |
Droit à l'effacement |
|
1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu'elle était enfant, ou pour l'un des motifs suivants: |
1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données et elle peut obtenir de tiers l'effacement de tous les liens vers ces données, ou de toute copie ou reproduction de celles-ci, pour l'un des motifs suivants: |
|
a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, |
a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées; |
|
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données; |
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données; |
|
c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19; |
c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19; |
|
|
c bis) un tribunal ou une autorité réglementaire basé(e) dans l'Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée; |
|
d) le traitement des données n'est pas conforme au présent règlement pour d'autres motifs. |
d) les données ont fait l'objet d'un traitement illicite. |
|
|
1 bis. L'application du paragraphe 1 dépend de la capacité du responsable du traitement à vérifier que la personne demandant l'effacement est la personne concernée. |
|
2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. |
2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel sans aucune justification fondée sur l'article 6, paragraphe 1, il prend toutes les mesures raisonnables pour procéder à l'effacement de ces données, y compris par des tiers, sans préjudice de l'article 77. Le responsable du traitement informe la personne concernée, lorsque cela est possible, des mesures prises par les tiers concernés. |
|
3. Le responsable du traitement procède à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire: |
3. Le responsable du traitement et, le cas échant, le tiers procèdent à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire: |
|
a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80; |
a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80; |
|
b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81; |
b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81; |
|
c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83; |
c) à des fins de recherche historique, statistique et scientifique, conformément à l'article 83; |
|
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi; |
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi; |
|
e) dans les cas mentionnés au paragraphe 4. |
e) dans les cas mentionnés au paragraphe 4. |
|
4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel: |
4. Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel de manière à ce qu'elles ne soient pas soumises aux manipulations usuelles d'accès aux données et de traitement des données exécutées par le responsable du traitement et qu'elles ne puissent plus être modifiées: |
|
a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données lorsque cette dernière est contestée par la personne concernée; |
a) pendant une durée permettant au responsable du traitement de vérifier l'exactitude des données lorsque cette dernière est contestée par la personne concernée; |
|
b) lorsqu'elles ne sont plus utiles au responsable du traitement pour qu'il s'acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires, ou |
b) lorsqu'elles ne sont plus utiles au responsable du traitement pour qu'il s'acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires, ou |
|
c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation; |
c) lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation; |
|
|
c bis) lorsqu'un tribunal ou une autorité réglementaire basé dans l'Union a jugé que le traitement des données concernées doit être limité et cette décision a acquis force de chose jugée; |
|
(d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 18, paragraphe 2. |
d) lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 15, paragraphe 2 bis. |
|
|
d bis) lorsque le type particulier de technologie de stockage ne permet pas l'effacement et a été mis en place avant l'entrée en vigueur du présent règlement. |
|
5. Les données à caractère personnel énumérées au paragraphe 4 ne peuvent être traitées, à l'exception de la conservation, qu'à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d'une autre personne physique ou morale ou pour un objectif d'intérêt général. |
5. Les données à caractère personnel énumérées au paragraphe 4 ne peuvent être traitées, à l'exception de la conservation, qu'à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d'une autre personne physique ou morale ou pour un objectif d'intérêt général. |
|
6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement. |
6. Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement. |
|
7. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l'effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données. |
|
|
8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel. |
8. Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel. |
|
|
8 bis. Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l'effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données. |
|
9. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser: |
9. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 86, aux fins de préciser: |
|
a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données; |
a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données; |
|
b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2; |
b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2; |
|
c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4. |
c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4. |
Amendement 113 Proposition de règlement Article 18 | |
|
Texte proposé par la Commission |
Amendement |
|
Droit à la portabilité des données |
supprimé |
|
1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée. |
|
|
2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle. |
|
|
3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 114 Proposition de règlement Article 19 | |
|
Texte proposé par la Commission |
Amendement |
|
Droit d'opposition |
Droit d'opposition |
|
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), à moins que le responsable du traitement n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
1. La personne concernée a le droit de s'opposer à tout moment à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d) et e), à moins que le responsable du traitement n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
|
2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations. |
2. Lorsque le traitement de données à caractère personnel est basé sur l'article 6, paragraphe 1, point f), la personne concernée a le droit de s'opposer sans frais, à tout moment et sans autre justification, à titre général ou à toute fin spécifique, au traitement de ses données à caractère personnel. |
|
|
2 bis. Le droit visé au paragraphe 2 est explicitement proposé à la personne concernée d'une façon claire et sous une forme intelligible, dans un langage simple et clair, en particulier si la personne concernée est un enfant, et doit pouvoir être clairement distingué d'autres informations. |
|
|
2 ter. Dans le contexte de l'utilisation des services de la société de l'information, et par dérogation à la directive 2002/58/CE, le droit d'opposition peut être exercé à l'aide de procédés automatisés en utilisant une norme technique permettant à la personne concernée d'exprimer clairement sa volonté. |
|
3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées. |
3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées aux fins définies dans l'opposition. |
(La dernière phrase du paragraphe 2 du texte de la Commission est devenue le paragraphe 2 bis de l'amendement du Parlement). | |
Amendement 115 Proposition de règlement Article 20 | |
|
Texte proposé par la Commission |
Amendement |
|
Mesures fondées sur le profilage |
Profilage |
|
1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. |
1. Sans préjudice des dispositions de l'article 6, toute personne physique a le droit de s'opposer au profilage conformément à l'article 19. La personne concernée est informée de son droit de s'opposer au profilage de façon évidente. |
|
2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement: |
2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à un profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, ses droits ou libertés de la personne concernée que si le traitement: |
|
a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d'obtenir une intervention humaine; ou |
a) est nécessaire aux fins de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite, à condition que des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée aient été invoquées; ou |
|
b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou |
b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; |
|
c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées. |
c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées. |
|
3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 9. |
3. Tout profilage qui a pour effet d'instaurer une discrimination fondée sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, l'orientation sexuelle ou l'identité de genre, ou qui se traduit par des mesures produisant un tel effet, est interdit. Le responsable du traitement doit assurer une protection efficace contre les discriminations pouvant découler du profilage. Le profilage ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 9. |
|
4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l'existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée. |
|
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2. |
5. Le profilage conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, droits ou libertés n'est pas fondé exclusivement ou principalement sur le traitement automatisé et inclut une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation. Les mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2 incluent le droit d'obtenir une appréciation humaine et une explication de la décision prise à la suite de cette appréciation. |
|
|
5 bis. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques conformément à l'article 66, paragraphe 1, point b), en vue préciser les critères et conditions s'appliquant au profilage conformément au paragraphe 2. |
Amendement 116 Proposition de règlement Article 21 | |
|
Texte proposé par la Commission |
Amendement |
|
Limitations |
Limitations |
|
1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 et à l'article 32, lorsqu'une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour: |
1. Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 11 à 19 et à l'article 32, pour autant que cette restriction poursuive un objectif clairement défini d'intérêt public, qu'elle respecte le principe essentiel du droit à la protection des données à caractère personnel, qu'elle soit proportionnée à l'objectif légitime poursuivi et qu'elle respecte les droits fondamentaux et les intérêts de la personne concernée, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique, pour: |
|
a) assurer la sécurité publique; |
a) assurer la sécurité publique; |
|
b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière; |
b) assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière; |
|
c) sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés; |
c) les aspects fiscaux; |
|
d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
d) assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; |
|
e) assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a), b), c) et d); |
e) assurer une mission de contrôle, d'inspection ou de réglementation dans le cadre de l'exercice d'une autorité publique compétente, dans les cas visés aux points a), b), c) et d); |
|
f) garantir la protection de la personne concernée ou des droits et libertés d'autrui. |
f) garantir la protection de la personne concernée ou des droits et libertés d'autrui. |
|
2. Toute mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement. |
2. Toute mesure législative visée au paragraphe 1 doit être nécessaire et proportionnée dans une société démocratique et doit notamment contenir des dispositions spécifiques relatives, au moins: |
|
|
a) aux finalités du traitement; |
|
|
b) aux modalités d'identification du responsable du traitement; |
|
|
c) aux finalités et moyens spécifiques du traitement; |
|
|
d) aux garanties destinées à prévenir les abus ou la consultation ou le transfert illégal; |
|
|
e) au droit des personnes concernées à être tenues informées de toute limitation. |
|
|
2 bis. Les mesures législatives visées au paragraphe 1 n'autorisent ni n'obligent les responsables privés du traitement à conserver des données autres que celles strictement nécessaires pour les finalités prévues à l'origine. |
(Les derniers mots du paragraphe 2 du texte de la Commission sont devenus les points a) et b) dans l'amendement du Parlement. | |
Amendement 117 Proposition de règlement Article 22 | |
|
Texte proposé par la Commission |
Amendement |
|
Obligations incombant au responsable du traitement |
Obligations et responsabilité du responsable du traitement |
|
1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement. |
1. Le responsable du traitement adopte des règles appropriées et met en œuvre des mesures techniques et organisationnelles adéquates et démontrables pour garantir, et être à même de démontrer de façon transparente, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement, compte étant tenu de l'état de la technique, de la nature du traitement des données à caractère personnel, du contexte, de la portée et des finalités du traitement, des risques pour les droits et libertés de la personne concernée et du type d'organisation, tant lors de la définition des moyens de traitement que lors du traitement proprement dit. |
|
|
1 bis. Compte étant tenu des techniques les plus récentes et du coût de mise en œuvre, le responsable du traitement prend toutes les mesures raisonnables pour appliquer des politiques et procédures de conformité qui respectent systématiquement les choix indépendants des personnes concernées. Ces politiques de conformité sont révisées tous les deux ans au moins et mises à jour si nécessaire. |
|
2. Les mesures prévues au paragraphe 1 portent notamment sur: |
|
|
a) la tenue de la documentation en application de l'article 28; |
|
|
b) la mise en œuvre des obligations en matière de sécurité des données prévues à l'article 30; |
|
|
c) la réalisation d'une analyse d'impact relative à la protection des données en application de l'article 33; |
|
|
d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2; |
|
|
e) la désignation d'un délégué à la protection des données en application de l'article 35, paragraphe 1. |
|
|
3. Le responsable du traitement met en œuvre des mécanismes pour vérifier l'efficacité des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d'une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. |
3. Le responsable du traitement est en mesure de démontrer le caractère adéquat et efficace des mesures énoncées aux paragraphes 1 et 2. Les rapports d'activité réguliers du responsable du traitement, tels que les rapports obligatoires des sociétés cotées en bourse, contiennent une description des politiques et mesures visées au paragraphe 1. |
|
|
3 bis. Le responsable du traitement a le droit de transmettre des données à caractère personnel dans l'Union au sein du groupe d'entreprises dont il est membre, lorsque ce traitement est nécessaire à des fins administratives internes légitimes entre des zones commerciales connectées du groupe d'entreprises, et si un niveau adéquat de protection des données ainsi que les intérêts des personnes concernées sont garantis par des dispositions internes en matière de protection des données ou des codes de conduite équivalents tels que visés à l'article 38. |
|
4. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises. |
|
Amendement 118 Proposition de règlement Article 23 | |
|
Texte proposé par la Commission |
Amendement |
|
Protection des données dès la conception et protection des données par défaut |
Protection des données dès la conception et protection des données par défaut |
|
1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. |
1. Compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des risques représentés par le traitement des données, le responsable du traitement et le sous-traitant éventuel appliquent, tant lors de la définition des objectifs et des moyens de traitement que lors du traitement proprement dit, des mesures et procédures techniques et organisationnelles appropriées et proportionnées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, notamment en ce qui concerne les principes établis à l'article 5. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement. Elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Une fois que le responsable du traitement a procédé à une analyse d'impact relative à la protection des données, conformément à l'article 33, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures. |
|
|
1 bis. Afin d'encourager sa mise en œuvre étendue dans différents secteurs économiques, la protection des données dès la conception est une condition préalable aux offres de marchés publics en vertu de la directive 2004/18/CE du Parlement et du Conseil1 ainsi que de la directive 2004/17/CE du Parlement européen et du Conseil2 ("directive secteurs spéciaux"). |
|
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques. |
2. Le responsable du traitement s'assure que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées, conservées ou communiquées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l'ensemble des secteurs, produits et services. |
|
|
4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
|
|
1 Directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés publics de travaux, de fournitures et de services (JO L 134 du 30.4.2004, p. 114). |
|
|
2 Directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés dans les secteurs de l'eau, de l'énergie, des transports et des services postaux (JO L 134 du 30.4.2004, p. 1). |
Amendement 119 Proposition de règlement Article 24 | |
|
Texte proposé par la Commission |
Amendement |
|
Responsables conjoints du traitement |
Responsables conjoints du traitement |
|
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. |
Lorsque plusieurs responsables du traitement définissent conjointement les finalités et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement déterminent leurs obligations respectives dans le cadre d'un accord afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées et ses grandes lignes sont mises à disposition de la personne concernée. Lorsque la responsabilité n'est pas clairement établie, les responsables du traitement sont conjointement et solidairement responsables. |
Amendement 120 Proposition de règlement Article 25 | |
|
Texte proposé par la Commission |
Amendement |
|
Représentants des responsables du traitement qui ne sont pas établis dans l'Union |
Représentants des responsables du traitement qui ne sont pas établis dans l'Union |
|
1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union. |
1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union. |
|
2. Cette obligation ne s'applique pas: |
2. Cette obligation ne s'applique pas: |
|
a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41; ou |
a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41; ou |
|
b) à une entreprise employant moins de 250 salariés; ou |
b) à un responsable du traitement qui traite des données à caractère personnel qui concernent moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et qui ne traite pas de catégories particulières de données telles que visées à l'article 9, paragraphe 1, de données de localisation ou de données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur; ou |
|
c) à une autorité ou à un organisme publics; ou |
c) à une autorité ou à un organisme publics; ou |
|
d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union. |
d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union, à moins que le traitement de données à caractère personnel ne concerne des catégories particulières de données telles que visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur. |
|
3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé. |
3. Le représentant est établi dans l'un des États membres dans lesquels se déroule l'offre de biens ou de services aux personnes concernées ou son suivi. |
|
4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même. |
4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même. |
Amendement 121 Proposition de règlement Article 26 | |
|
Texte proposé par la Commission |
Amendement |
|
Sous-traitant |
Sous-traitant |
|
1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures. |
1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures. |
|
2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant: |
2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement. Le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et tâches respectifs quant au respect des exigences du présent règlement et prévoient que le sous-traitant: |
|
a) n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit; |
a) ne traite des données à caractère personnel que sur instruction du responsable du traitement, sauf disposition contraire du droit de l'Union ou de la législation nationale; |
|
b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité; |
b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité; |
|
c) prend toutes les mesures nécessaires en vertu de l'article 30; |
c) prend toutes les mesures nécessaires en vertu de l'article 30; |
|
d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement; |
d) ne définit les conditions d'engagement d'un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement, sauf disposition contraire; |
|
e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III; |
e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles appropriées et pertinentes pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III; |
|
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34; |
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34, en tenant compte de la nature du traitement et des informations à la disposition du sous-traitant; |
|
g) transmet tous les résultats au responsable du traitement après la fin du traitement et s'abstient de traiter les données à caractère personnel de toute autre manière; |
g) remet tous les résultats au responsable du traitement après la fin du traitement, s'abstient de traiter les données à caractère personnel de toute autre manière et supprime les copies existantes, à moins que la législation de l'Union ou des États membres n'exige le stockage des données; |
|
h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article. |
h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent article et permet des inspections sur place. |
|
3. Le responsable du traitement et le sous-traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2. |
3. Le responsable du traitement et le sous-traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2. |
|
|
3 bis. Les garanties suffisantes visées au paragraphe 1 peuvent être fournies par l'adhésion à des codes de conduite ou des mécanismes de certification conformément aux articles 38 ou 39 du présent règlement. |
|
4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24. |
4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, ou s'il devient la partie déterminante en ce qui concerne les finalités et moyens du traitement de données, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24. |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d'un groupe d'entreprises, en particulier aux fins de contrôle et de présentation de rapports. |
|
Amendement 122 Proposition de règlement Article 28 | |
|
Texte proposé par la Commission |
Amendement |
|
Documentation |
Documentation |
|
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire de tous les traitements effectués sous leur responsabilité. |
1. Chaque responsable du traitement et chaque sous-traitant conserve une trace documentaire régulièrement mise à jour nécessaire au respect des exigences établies dans le présent règlement. |
|
2. La documentation constituée comporte au moins les informations suivantes: |
2. En outre, chaque responsable du traitement et sous‑traitant conserve une trace documentaire des informations suivantes: |
|
a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant, et du représentant, le cas échéant; |
a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant, et du représentant, le cas échéant; |
|
b) le nom et les coordonnées du délégué à la protection des données, le cas échéant; |
b) le nom et les coordonnées du délégué à la protection des données, le cas échéant; |
|
c) les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f); |
|
|
d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant; |
|
|
e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris les responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent; |
e) le nom et les coordonnées des responsables du traitement auxquels les données à caractère personnel sont communiquées, le cas échéant; |
|
f) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées; |
|
|
g) une indication générale des délais impartis pour l'effacement des différentes catégories de données; |
|
|
h) la description des mécanismes prévus à l'article 22, paragraphe 3. |
|
|
3. Le responsable du traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci. |
|
|
4. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas aux responsables du traitement et aux sous-traitants relevant des catégories suivantes: |
|
|
a) personnes physiques traitant des données à caractère personnel en l'absence de tout intérêt commercial; ou |
|
|
b) entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale. |
|
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement. |
|
|
6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 123 Proposition de règlement Article 29 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l’autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe. |
1. Le responsable du traitement et, le cas échant, le sous-traitant ainsi que le représentant du responsable du traitement, coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe. |
Amendement 124 Proposition de règlement Article 30 | |
|
Texte proposé par la Commission |
Amendement |
|
Sécurité des traitements |
Sécurité des traitements |
|
1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger. |
1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement, en tenant compte des résultats de l'analyse d'impact relative à la protection des données conformément à l'article 33, ainsi que des techniques les plus récentes et des coûts liés à leur mise en œuvre. |
|
|
1 bis. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, cette politique de sécurité inclut: |
|
|
a) la capacité de garantir l'intégrité de la personne concernée; |
|
|
b) la capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel; |
|
|
c) la capacité de rétablir la disponibilité des données et l'accès à celles-ci, dans les plus brefs délais, en cas d'incident physique ou technique qui compromet la disponibilité, l'intégrité et la confidentialité des systèmes et des services d'information; |
|
|
d) s'agissant de données à caractère personnel sensibles, au sens des articles 8 et 9, des mesures de sécurité supplémentaires afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, contre les faiblesses et les incidents décelés qui pourraient présenter un risque pour les données; |
|
|
e) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des politiques, des procédures et des plans de sécurité mis en place pour assurer une efficacité constante. |
|
2. À la suite d'une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorisés, ou l'altération de données à caractère personnel. |
2. Les mesures visées au paragraphe 1 poursuivent au moins les objectifs suivants: |
|
|
a) garantir que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées; |
|
|
b) protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites; et |
|
|
c) assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique. |
3. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 concernant les mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut. |
|
4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue: |
|
|
a) d’empêcher tout accès non autorisé à des données à caractère personnel; |
|
|
b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel; |
|
|
c) d'assurer la vérification de la licéité des traitements. |
|
|
Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
(Le paragraphe 2 du texte de la Commission devient en partie le point b) dans l'amendement du Parlement.) | |
Amendement 125 Proposition de règlement Article 31 | |
|
Texte proposé par la Commission |
Amendement |
|
Notification à l'autorité de contrôle d'une violation de données à caractère personnel |
Notification à l'autorité de contrôle d'une violation de données à caractère personnel |
|
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. |
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié. |
|
2. En vertu de l’article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel. |
2. Le sous-traitant alerte et informe le responsable du traitement de la violation de données à caractère personnel sans retard injustifié après en avoir pris connaissance. |
|
3. La notification visée au paragraphe 1 doit, à tout le moins: |
3. La notification visée au paragraphe 1 doit, à tout le moins: |
|
a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés; |
a) décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés; |
|
b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; |
b) communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; |
|
c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel; |
c) recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel; |
|
d) décrire les conséquences de la violation de données à caractère personnel; |
d) décrire les conséquences de la violation de données à caractère personnel; |
|
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel. |
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets. |
|
|
Les informations peuvent être transmises en plusieurs phases, si cela s'avère nécessaire. |
|
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin. |
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article et de l'article 30. Elle comporte uniquement les informations nécessaires à cette fin. |
|
|
4 bis. L'autorité de contrôle tient un registre public des types de violations notifiées. |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à l’établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel. |
5. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, recommandations et bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 aux fins de l’établissement de la violation de données et de la détermination du retard injustifié visés aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel. |
|
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 126 Proposition de règlement Article 32 | |
|
Texte proposé par la Commission |
Amendement |
|
Communication à la personne concernée d'une violation de données à caractère personnel |
Communication à la personne concernée d'une violation de données à caractère personnel |
|
1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. |
1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. |
|
2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et c). |
2.La communication à la personne concernée prévue au paragraphe 1 est détaillée et utilise un langage clair et simple. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b), c) et d), ainsi que des informations sur les droits de la personne concernée, y compris concernant les possibilités de recours. |
|
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. |
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. |
|
4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute. |
4. Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation de ses données à caractère personnel, si le responsable du traitement n'a pas déjà averti la personne concernée de la violation de ses données à caractère personnel, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute. |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel. |
5. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée. |
|
6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 127 Proposition de règlement Article 32 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 32 bis |
|
|
Prise en compte des risques |
|
|
1. Le responsable du traitement ou, le cas échéant, le sous‑traitant, réalise une analyse du risque en ce qui concerne les répercussions potentielles du traitement de données prévu sur les droits et les libertés des personnes concernées, tout en évaluant si les traitements sont susceptibles de présenter des risques spécifiques. |
|
|
2. Les traitements susceptibles de présenter des risques spécifiques sont les suivants: |
|
|
a) le traitement de données à caractère personnel de plus de 5 000 personnes concernées sur une période de douze mois consécutifs; |
|
|
b) le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, des données de localisation, ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur; |
|
|
c) l'établissement de profils sur la base desquels sont prises des mesures produisant des effets juridiques concernant ou affectant de manière tout aussi significative ladite personne; |
|
|
d) le traitement de données à caractère personnel destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises; |
|
|
e) la surveillance automatisée à grande échelle de zones accessibles au public; |
|
|
f) les autres traitements pour lesquels la consultation du délégué à la protection des données ou de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b); |
|
|
g) lorsqu'une violation des données à caractère personnel risque de porter atteinte à la protection des données à caractère personnel, de la vie privée, des droits ou des intérêts légitimes de la personne concernée; |
|
|
h) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées; |
|
|
i) la mise à disposition de données à caractère personnel à un nombre de personnes dont on ne peut raisonnablement attendre qu'il soit limité. |
|
|
3. En fonction des résultats de l'analyse du risque: |
|
|
a) lorsqu'il est procédé à l'un quelconque des traitements visés aux points a) ou b) du paragraphe 2, les responsables du traitement non établis dans l'Union européenne désignent un représentant dans l'Union conformément aux obligations et aux exemptions visées à l'article 25; |
|
|
b) lorsqu'il est procédé à l'un quelconque des traitements visés aux points a), b) ou h) du paragraphe 2, le responsable du traitement désigne un délégué à la protection des données conformément aux obligations et aux exemptions visées à l'article 35; |
|
|
c) lorsqu'il est procédé à l'un quelconque des traitements visés aux points a), b), c), d), e), f), g) ou h) du paragraphe 2, le responsable du traitement ou le sous‑traitant agissant pour le compte du responsable du traitement procède à une analyse d'impact relative à la protection des données, conformément à l'article 33; |
|
|
d) lorsqu'il est procédé aux traitements visés au point f) du paragraphe 2, le responsable du traitement consulte le délégué à la protection des données ou, dans l'éventualité où un délégué à la protection des données n'aurait pas été désigné, l'autorité de contrôle, conformément à l'article 34. |
|
|
4. L'analyse des risques est révisée au plus tard après un an, ou immédiatement si la nature, la portée ou les finalités des traitements sont sensiblement modifiées. Lorsqu'en application du point c) du paragraphe 3, le responsable du traitement n'est pas tenu de procéder à une analyse d'impact relative à la protection des données, l'analyse des risques est documentée. |
Amendement 128 Proposition de règlement Chapitre 4 – section 3 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE |
GESTION DE LA PROTECTION DES DONNÉES SUR TOUT LEUR CYCLE DE VIE |
Amendement 129 Proposition de règlement Article 33 | |
|
Texte proposé par la Commission |
Amendement |
|
Analyse d’impact relative à la protection des données |
Analyse d’impact relative à la protection des données |
|
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. |
1. Lorsque les dispositions de l'article 32 bis, paragraphe 3, point c) l'exigent, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur les droits et les libertés des personnes concernées, en particulier leur droit à la protection des données à caractère personnel. Une seule analyse suffit à examiner un ensemble de traitements similaires qui présentent des risques similaires. |
|
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants: |
|
|
a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne; |
|
|
b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises; |
|
|
c) la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto-électroniques (vidéosurveillance) sont utilisés à grande échelle; |
|
|
d) le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques; |
|
|
e) les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b). |
|
|
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées. |
3. L'analyse porte sur la gestion de la totalité du cycle de vie des données à caractère personnel, de la collecte à la suppression, en passant par le traitement. Elle contient au moins: |
|
|
a) une description systématique des traitements envisagés, les finalités du traitement et, le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement; |
|
|
b) une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités; |
|
|
c) une évaluation des risques pour les droits et libertés des personnes concernées, notamment du risque de discrimination inhérent au traitement ou que celui-ci pourrait accentuer; |
|
|
d) une description des mesures envisagées pour faire face aux risques et réduire au maximum le volume de données à caractère personnel traité; |
|
|
e) une liste des garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel, comme la pseudonymisation, et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées; |
|
|
f) une indication générale des délais impartis pour l'effacement des différentes catégories de données; |
|
|
h) une explication des pratiques de protection des données dès la conception et par défaut visées à l'article 23 qui ont été mises en œuvre; |
|
|
i) une liste des destinataires ou des catégories de destinataires des données à caractère personnel; |
|
|
j) le cas échéant, une liste des transferts de données prévus vers un pays tiers ou une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées; |
|
|
k) une évaluation du contexte du traitement des données. |
|
|
3 bis. Si le responsable du traitement ou le sous‑traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact. |
|
|
3 ter. L'analyse est documentée et établit un calendrier des examens périodiques de la conformité de la protection des données, au titre de l'article 33 bis, paragraphe 1. L'analyse est mise à jour sans retard indu si les résultats de l'examen de la conformité de la protection des données visé à l'article 33 bis font apparaître des lacunes. Le responsable du traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'analyse à la disposition de l'autorité de contrôle, à la demande de celle-ci. |
|
4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements. |
|
|
5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement. |
|
|
6. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. |
|
|
7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
(Une partie du paragraphe 3 du texte de la Commission est reprise aux points a), c), d) et e) dans l'amendement du Parlement.) | |
Amendement 130 Proposition de règlement Article 33 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 33 bis |
|
|
Examen de la conformité de la protection des données |
|
|
1. Deux ans au plus tard après avoir effectué une analyse d'impact conformément à l'article 33, paragraphe 1, le responsable du traitement ou le sous-traitant agissant pour le compte de ce dernier procède à un examen de conformité. Celui-ci démontre que le traitement des données à caractère personnel est effectué conformément à l'analyse d'impact relative à la protection des données. |
|
|
2. L'examen de conformité est réalisé périodiquement, au moins tous les deux ans, ou immédiatement si un changement intervient dans les risques spécifiques présentés par les traitements. |
|
|
3. Lorsque les résultats de l'examen de conformité font apparaître des lacunes, l'examen de conformité comporte des recommandations pour y remédier. |
|
|
4. L'examen de conformité et ses recommandations sont documentés. Le responsable du traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'examen de conformité à la disposition de l'autorité de contrôle, à la demande de celle-ci. |
|
|
5. Si le responsable du traitement ou le sous‑traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'examen de la conformité. |
Amendement 131 Proposition de règlement Article 34 | |
|
Texte proposé par la Commission |
Amendement |
|
Autorisation et consultation préalables |
Consultation préalable |
|
1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale. |
|
|
2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées: |
2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent le délégué à la protection des données ou, dans l'éventualité où il n'aurait pas été désigné de délégué à la protection des données, l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées: |
|
a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou |
a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou |
|
b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4. |
b) lorsque le délégué à la protection des données ou l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4. |
|
3. Lorsque l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité. |
3. Lorsque l'autorité de contrôle compétente détermine, conformément à ses attributions, que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité. |
|
4. L'autorité de contrôle établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données. |
4. Le comité européen de la protection des données établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2. |
|
5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste. |
|
|
6. Le responsable du traitement ou le sous-traitant fournissent à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent. |
6. Le responsable du traitement ou le sous-traitant fournissent, sur demande, à l'autorité de contrôle l'analyse d'impact relative à la protection des données conformément à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent. |
|
7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées. |
7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées. |
|
8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a). |
|
|
9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 132 Proposition de règlement Article 35 | |
|
Texte proposé par la Commission |
Amendement |
|
Désignation du délégué à la protection des données |
Désignation du délégué à la protection des données |
|
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque: |
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque: |
|
a) le traitement est effectué par une autorité ou un organisme publics; ou |
a) le traitement est effectué par une autorité ou un organisme publics; ou |
|
b) le traitement est effectué par une entreprise employant 250 personnes ou plus; ou |
b) le traitement est effectué par une personne morale et porte sur plus de 5 000 personnes concernées sur une période de douze mois consécutifs; ou |
|
c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées. |
c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées; ou |
|
|
d) les activités de base du responsable du traitement ou du sous-traitant consistent à traiter les catégories particulières de données visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des employés dans des fichiers informatisés de grande ampleur. |
|
2. Dans le cas visé au paragraphe 1, point b), un groupe d'entreprises peut désigner un délégué à la protection des données unique. |
2. Un groupe d'entreprises peut désigner un délégué principal à la protection des données, après s'être assuré qu'il est facile d'avoir accès à un délégué à la protection des données sur chaque lieu d'établissement. |
|
3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics. |
3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics. |
|
4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données. |
4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données. |
|
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
|
6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts. |
6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts. |
|
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci. |
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de quatre ans lorsqu'il s'agit d'un salarié ou de deux ans lorsqu'il s'agit d'un prestataire externe. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci. |
|
8. Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous-traitant, ou accomplir ses tâches sur la base d'un contrat de service. |
8. Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous-traitant, ou accomplir ses tâches sur la base d'un contrat de service. |
|
9. Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public. |
9. Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public. |
|
10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement. |
10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement. |
|
11. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5. |
|
Amendement 133 Proposition de règlement Article 36 | |
|
Texte proposé par la Commission |
Amendement |
|
Fonction du délégué à la protection des données |
Fonction du délégué à la protection des données |
|
1. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. |
1. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. |
|
2. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction du responsable du traitement ou du sous-traitant. |
2. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction exécutive du responsable du traitement ou du sous-traitant. Le responsable du traitement ou le sous-traitant désignent à cette fin un membre de la direction exécutive chargé de veiller au respect des dispositions du présent règlement. |
|
3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l’article 37. |
3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent toutes les ressources, notamment le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l’article 37 et au maintien de ses connaissances professionnelles. |
|
|
4. Les délégués à la protection des données sont tenus au secret professionnel pour ce qui est de l'identité des personnes concernées et des circonstances permettant à celles-ci d'être identifiées, à moins que la personne concernée ne les décharge de cette obligation. |
Amendement 134 Proposition de règlement Article 37 | |
|
Texte proposé par la Commission |
Amendement |
|
Missions du délégué à la protection des données |
Missions du délégué à la protection des données |
|
1. Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes: |
Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes: |
|
a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement et conserver une trace documentaire de cette activité et des réponses reçues; |
a) sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement, notamment en ce qui concerne les mesures et procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues; |
|
b) contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant; |
b) contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant; |
|
c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement; |
c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement; |
|
d) veiller à ce que la documentation visée à l’article 28 soit tenue à jour; |
d) veiller à ce que la documentation visée à l’article 28 soit tenue à jour; |
|
e) contrôler la documentation, la notification et la communication, prévues aux articles 31 et 32, et relatives aux violations de données à caractère personnel; |
e) contrôler la documentation, la notification et la communication, prévues aux articles 31 et 32, et relatives aux violations de données à caractère personnel; |
|
f) vérifier que le responsable du traitement ou le sous-traitant a réalisé l’analyse d’impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises au titre des articles 33 et 34; |
f) vérifier que le responsable du traitement ou le sous-traitant a réalisé l'analyse d'impact relative à la protection des données, et que les demandes de consultation préalable ont été introduites, si elles sont requises au titre des articles 32 bis, 33 et 34;
|
|
g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données; |
g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données; |
|
h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative. |
h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative. |
|
|
i) veiller au respect du présent règlement eu égard au mécanisme de consultation préalable établi à l'article 34; |
|
|
j) informer les représentants des salariés au sujet du traitement des données des salariés. |
|
2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1. |
|
Amendement 135 Proposition de règlement Article 38 | |
|
Texte proposé par la Commission |
Amendement |
|
Codes de conduite |
Codes de conduite |
|
1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment: |
1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite ou l'adoption de codes de conduite élaborés par une autorité de contrôle destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment: |
|
a) le traitement loyal et transparent des données; |
a) le traitement loyal et transparent des données; |
|
|
a bis) le respect des droits du consommateur; |
|
b) la collecte des données; |
b) la collecte des données; |
|
c) l'information du public et des personnes concernées; |
c) l'information du public et des personnes concernées; |
|
d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits; |
d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits; |
|
e) l'information et la protection des enfants; |
e) l'information et la protection des enfants; |
|
f) le transfert de données vers des pays tiers ou à des organisations internationales; |
f) le transfert de données vers des pays tiers ou à des organisations internationales; |
|
g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent; |
g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent; |
|
h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75. |
h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75. |
|
2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L’autorité de contrôle peut rendre un avis sur la conformité, avec le présent règlement, du projet de code de conduite ou de la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets. |
2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L'autorité de contrôle rend, en temps utile, un avis sur la conformité, avec le présent règlement, du traitement effectué conformément au projet de code de conduite ou de la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets. |
|
3. Les associations et les autres organisations représentant des catégories de responsables du traitement dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants. |
3. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants. |
|
4. La Commission peut adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont d’applicabilité générale sur le territoire de l'Union. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2. |
4. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données, des actes délégués en conformité avec l'article 86 afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont conformes au présent règlement et d'applicabilité générale sur le territoire de l'Union. Ces actes délégués confèrent aux personnes concernées des droits opposables. |
|
5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4. |
5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4. |
Amendement 136 Proposition de règlement Article 39 | |
|
Texte proposé par la Commission |
Amendement |
|
Certification |
Certification |
|
1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements. |
|
|
|
1 bis. Tout responsable du traitement ou sous‑traitant peut demander à n'importe quelle autorité de contrôle dans l'Union de certifier, moyennant le paiement de frais raisonnables tenant compte des coûts administratifs, que le traitement des données à caractère personnel est exécuté conformément au présent règlement, notamment aux principes énoncés aux articles 5, 23 et 30, et dans le respect des obligations du responsable du traitement et du sous-traitant, ainsi que des droits des personnes concernées. |
|
|
1 ter. La certification est volontaire, abordable et disponible au travers d'un processus transparent et ne présentant pas de complications injustifiées. |
|
|
1 quater. Les autorités de contrôle et le comité européen de la protection des données coopèrent dans le cadre du mécanisme de contrôle de la cohérence conformément à l'article 57 en vue de garantir un mécanisme de certification harmonisé en matière de protection des données, y compris des redevances harmonisées, au sein de l'Union. |
|
|
1 quinquies. Pendant la procédure de certification, l'autorité de contrôle peut agréer des auditeurs tiers spécialisés pour effectuer en son nom l'audit du responsable du traitement ou du sous-traitant. Les auditeurs tiers disposent de personnel suffisamment qualifié, sont impartiaux et libres de tout conflit d'intérêts par rapport à leurs fonctions. Les autorités de contrôle révoquent l'agrément lorsqu'il existe des raisons de croire que l'auditeur ne remplit pas correctement ses fonctions. La certification finale est octroyée par l'autorité de contrôle. |
|
|
1 sexies. Les autorités de contrôle octroient aux responsables du traitement et aux sous‑traitants qui, en application de la procédure d'audit, ont obtenu la certification attestant que le traitement des données à caractère personnel auquel ils procèdent est conforme au présent règlement, la marque standardisée de protection des données "label européen de protection des données". |
|
|
1 septies. Le "label européen de protection des données" est valide tant que les opérations de traitement des données exécutées par le responsable du traitement ou le sous-traitant certifié continuent d'être entièrement conformes au présent règlement. |
|
|
1 octies. Sans préjudice du paragraphe 1 septies, la certification est valide pendant un maximum de cinq ans. |
|
|
1 nonies. Le comité européen de la protection des données établit un registre électronique public permettant au public de consulter tous les certificats, valides et invalides, délivrés dans l'État membre. |
|
|
1 decies. Le comité européen de la protection des données peut, de sa propre initiative, certifier qu'une norme technique renforçant la protection des données est conforme au présent règlement. |
|
2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1, y compris les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers. |
2. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données et avoir consulté les parties prenantes, en particulier l'industrie et des organisations non gouvernementales, des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés aux paragraphes 1 bis à 1 nonies, y compris les exigences en matière d'agrément des auditeurs, les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers. Ces actes délégués confèrent aux personnes concernées des droits opposables.
|
|
3. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2. |
|
Amendement 137 Proposition de règlement Article 41 | |
|
Texte proposé par la Commission |
Amendement |
|
Transferts assortis d’une décision relative au caractère adéquat du niveau de protection |
Transferts assortis d’une décision relative au caractère adéquat du niveau de protection |
|
1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation. |
1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique. |
|
2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants: |
2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants: |
|
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées; |
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, ainsi que la mise en œuvre de la présente législation, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, les précédents jurisprudentiels ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées; |
|
b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres, et |
b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, y compris à l'aide de pouvoirs de sanction suffisants, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres; et |
|
c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question. |
c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant en matière de protection des données à caractère personnel. |
|
3. La Commission peut constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 afin de constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Ces actes délégués prévoient une clause de suppression automatique lorsqu'ils concernent un secteur de traitement de données et sont révoqués conformément au paragraphe 5 dès lors qu'un niveau adéquat de protection des données conforme au présent règlement n'est plus garanti. |
|
4. L'acte d'exécution précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b). |
4. L'acte délégué précise son champ d'application territorial et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b). |
|
|
4 bis. La Commission suit, de manière permanente, les événements dans les pays tiers et dans les organisations internationales susceptibles de porter atteinte au respect des éléments visés au paragraphe 2 pour lesquels un acte délégué a été adopté conformément au paragraphe 3. |
|
5. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 87, paragraphe 3. |
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins de constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas ou plus un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. |
|
6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5. |
6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5. |
|
|
6 bis. Avant d'adopter un acte délégué conformément aux paragraphes 3 et 5, la Commission invite le comité européen de la protection des données à soumettre un avis sur le caractère suffisant du niveau de protection. À cette fin, la Commission fournit au comité européen de la protection des données toute la documentation nécessaire, y compris la correspondance avec le gouvernement du pays tiers, un territoire ou un secteur du traitement dans ce pays tiers, ou une organisation internationale. |
|
7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré. |
7. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré. |
|
8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par la Commission. |
8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à cinq ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par la Commission avant la fin de cette période. |
Amendement 138 Proposition de règlement Article 42 | |
|
Texte proposé par la Commission |
Amendement |
|
Transferts moyennant des garanties appropriées |
Transferts moyennant des garanties appropriées |
|
1. Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant. |
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, ou lorsqu'elle décide qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données conformément au paragraphe 5 dudit article, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale est impossible, à moins que le responsable du traitement ou le sous-traitant n'ait offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant. |
|
2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par: |
2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par: |
|
a) des règles d'entreprise contraignantes conformes à l'article 43; ou |
a) des règles d'entreprise contraignantes conformes à l'article 43; ou |
|
|
a bis) un "label européen de protection des données" octroyé au responsable du traitement et au destinataire, conformément au paragraphe 1 sexies de l'article 39; ou |
|
b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2; ou |
|
|
c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b); ou |
c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b); ou |
|
d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4. |
d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4. |
|
3. Un transfert effectué en vertu de clauses types de protection des données ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), b) ou c), ne nécessite pas d'autre autorisation. |
3. Un transfert effectué en vertu de clauses types de protection des données, d'un "label européen de protection des données" ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), a bis) ou c), ne nécessite pas d'autorisation spécifique. |
|
4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. |
4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle. Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. |
|
5. Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous-traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle. |
5. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à deux ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par la même autorité de contrôle avant la fin de cette période. |
Amendement 139 Proposition de règlement Article 43 | |
|
Texte proposé par la Commission |
Amendement |
|
Transferts encadrés par des règles d'entreprise contraignantes |
Transferts encadrés par des règles d'entreprise contraignantes |
|
1. Une autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition: |
1. L'autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition: |
|
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous-traitant, y compris à leurs salariés, et que lesdites entités en assurent le respect; |
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement et aux sous‑traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes, y compris à leurs salariés, et que lesdites entités en assurent le respect; |
|
b) qu'elles confèrent expressément aux personnes concernées des droits opposables; |
b) qu'elles confèrent expressément aux personnes concernées des droits opposables; |
|
c) qu'elles respectent les exigences prévues au paragraphe 2. |
c) qu'elles respectent les exigences prévues au paragraphe 2. |
|
|
1 bis. Concernant les données de l'emploi, les représentants des salariés sont informés de l'élaboration de règles d'entreprise contraignantes et, conformément au droit et aux pratiques nationales et de l'Union, y sont associés. |
|
2. Les règles d'entreprise contraignantes précisent au moins: |
2. Les règles d'entreprise contraignantes précisent au moins: |
|
a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent; |
a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent, et les sous‑traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes; |
|
b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question; |
b) le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question; |
|
c) leur nature juridiquement contraignante, tant interne qu'externe; |
c) leur nature juridiquement contraignante, tant interne qu'externe; |
|
d) les principes généraux de protection des données, notamment la limitation de la finalité, la qualité des données, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question; |
d) les principes généraux de protection des données, notamment la limitation de la finalité, la limitation des données, la réduction de la durée de conservation des données, la qualité des données, la protection des données dès la conception et par défaut, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les mesures en question; |
|
e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes; |
e) les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes; |
|
f) l'acceptation, par le responsable du traitement ou le sous-traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause; |
f) l'acceptation, par le responsable du traitement établi sur le territoire d'un État membre, de l'engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d'entreprises non établie dans l'Union; le responsable du traitement ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause; |
|
g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11; |
g) la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f), sont fournies aux personnes concernées, conformément à l'article 11; |
|
h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations; |
h) les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations; |
|
i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé; |
i) les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé; |
|
j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle; |
j) les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle; |
|
k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i). |
k) le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i). |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. |
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage le format, les procédures, les critères et les exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, y compris la transparence pour les personnes concernées, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. |
|
4. La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2. |
|
Amendement 140 Proposition de règlement Article 43 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 43 bis |
|
|
Transferts ou divulgations non autorisés par la législation de l'Union |
|
|
1. Aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il divulgue des données à caractère personnel n'est reconnue ni rendue exécutoire de quelque manière que ce soit, sans préjudice d'un traité d'assistance juridique mutuelle ou d'un accord international en vigueur entre le pays tiers demandeur et l'Union ou un État membre. |
|
|
2. Lorsque la décision d'une cour, d'un tribunal ou d'une autorité administrative d'un pays tiers demande à un responsable du traitement ou à un sous-traitant de divulguer des données à caractère personnel, le responsable du traitement ou le sous-traitant et, le cas échéant, le représentant du responsable, en informent sans délai injustifié l'autorité de contrôle et doivent obtenir auprès de cette dernière une autorisation préalable pour le transfert ou la divulgation des données. |
|
|
3. L'autorité de contrôle évalue la conformité de la divulgation demandée avec le règlement et notamment si la divulgation est nécessaire et exigée d'un point de vue légal conformément à l'article 44, paragraphe 1, points d) et e), et à l'article 44, paragraphe 5. Lorsque des personnes concernées sont affectées dans d'autres États membres, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57. |
|
|
4. L'autorité de contrôle porte la demande à la connaissance de l'autorité nationale compétente. Sans préjudice de l'article 21, le responsable du traitement ou le sous‑traitant informent également les personnes concernées de cette demande et de l'autorisation accordée par l'autorité de contrôle, et, le cas échéant, informent la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs, conformément au point h bis) du paragraphe 1 de l'article 14. |
Amendement 141 Proposition de règlement Article 44 | |
|
Texte proposé par la Commission |
Amendement |
|
Dérogations |
Dérogations |
|
1. En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41 ou de garanties appropriées conformément à l’article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que: |
1. En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41 ou de garanties appropriées conformément à l’article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que: |
|
a) la personne concernée ait consenti au transfert envisagé, après avoir été informée des risques du transfert en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; ou |
a) la personne concernée ait consenti au transfert envisagé, après avoir été informée des risques du transfert en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; ou |
|
b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou |
b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou |
|
c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale; ou |
c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale; ou |
|
d) le transfert soit nécessaire pour des motifs importants d'intérêt général; ou |
d) le transfert soit nécessaire pour des motifs importants d'intérêt général; ou |
|
e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou |
e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou |
|
f) le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; ou |
f) le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; ou |
|
g) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions du droit de l'Union ou des États membres, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions prévues dans le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier; ou |
g) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions du droit de l'Union ou des États membres, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions prévues dans le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier. |
|
h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous-traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif et que le responsable du traitement ou le sous-traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu. |
|
|
2. Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires. |
2. Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires. |
|
3. Lorsque le traitement s'effectue en vertu du paragraphe 1, point h), le responsable du traitement ou le sous-traitant prend particulièrement en considération la nature des données, la finalité et la durée du ou des traitements envisagés, ainsi que la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et offre des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu. |
|
|
4. Les points b), c) et h) du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique. |
4. Les points b) et c) du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique. |
|
5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement. |
5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement. |
|
6. Le responsable du traitement ou le sous-traitant atteste la matérialité, dans la documentation visée à l'article 28, de l'évaluation et des garanties appropriées offertes visées au paragraphe 1, point h), et informe l'autorité de contrôle du transfert. |
|
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les "motifs importants d'intérêt général" au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues au paragraphe 1, point h). |
7. Le comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe de l'article 66 aux fins de préciser davantage les critères et exigences applicables aux transferts de données sur la base du paragraphe 1. |
Amendement 142 Proposition de règlement Article 45 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter l’application de la législation relative à la protection des données à caractère personnel; |
a) élaborer des mécanismes de coopération internationaux efficaces destinés à garantir l'application de la législation relative à la protection des données à caractère personnel; |
Amendement 143 Proposition de règlement Article 45 – paragraphe 1 – point d bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d bis) clarifier les conflits juridictionnels avec les pays tiers et consulter ces derniers à ce sujet. |
Amendement 144 Proposition de règlement Article 45 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 45 bis |
|
|
Rapport de la Commission |
|
|
La Commission transmet au Parlement européen et au Conseil, à intervalles réguliers, à compter de quatre ans après la date mentionnée à l'article 91, paragraphe 1, au plus tard, un rapport sur l'application des articles 40 à 45. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, lesquelles sont fournies sans délai injustifié. Ce rapport est rendu public. |
Amendement 145 Proposition de règlement Article 47 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. L'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés. |
1. L'autorité de contrôle exerce en toute indépendance et impartialité les missions et les pouvoirs qui lui sont confiés, sans préjudice des dispositions relatives à la coopération et à la cohérence visées au chapitre VII du présent règlement. |
Amendement 146 Proposition de règlement Article 47 – paragraphe 7 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
7 bis. Chaque État membre veille à ce que l'autorité de contrôle soit responsable devant le parlement national pour des raisons de contrôle budgétaire. |
Amendement 147 Proposition de règlement Article 50 | |
|
Texte proposé par la Commission |
Amendement |
|
Secret professionnel |
Secret professionnel |
|
Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles. |
Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, tout en menant leurs missions en toute indépendance et en toute transparence conformément aux dispositions du présent règlement. |
Amendement 148 Proposition de règlement Article 51 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au présent règlement. |
1. Chaque autorité de contrôle est habilitée à remplir les fonctions et à exercer les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève, sans préjudice des articles 73 et 74. Les traitements de données effectués par une autorité publique ne sont contrôlés que par l'autorité de contrôle de cet État membre. |
Amendement 149 Proposition de règlement Article 51 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement. |
supprimé |
Amendement 150 Proposition de règlement Article 52 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire; |
b) reçoit les réclamations introduites par toute personne concernée ou par une association conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire; |
Amendement 151 Proposition de règlement Article 52 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; |
d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou de la réception d'informations spécifiques et documentées invoquant un traitement illicite ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; |
Amendement 152 Proposition de règlement Article 52 – paragraphe 1 – point j bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
j bis) certifie les responsables du traitement et les sous-traitants, conformément à l’article 39. |
Amendement 153 Proposition de règlement Article 52 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière. |
2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel ainsi qu'aux mesures appropriées de protection des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière. |
Amendement 154 Proposition de règlement Article 52 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Chaque autorité de contrôle sensibilise, en collaboration avec le comité européen de la protection des données, les responsables du traitement et les sous‑traitants aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Cela inclut la tenue d'un registre des sanctions et des violations. Ce registre devrait reprendre de la manière la plus détaillée possible tant l'ensemble des avertissements et sanctions que la résolution des violations. Chaque autorité de contrôle fournit aux responsables du traitement et aux sous‑traitants des micro-entreprises et des petites et moyennes entreprises, sur demande, des informations générales concernant leurs responsabilités et obligations en vertu du présent règlement. |
Amendement 155 Proposition de règlement Article 52 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou ne pas prendre les mesures sollicitées par la personne concernée. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande. |
6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables ou ne pas prendre les mesures sollicitées par la personne concernée. Ces frais ne dépassent pas les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande. |
Amendement 156 Proposition de règlement Article 53 | |
|
Texte proposé par la Commission |
Amendement |
|
Pouvoirs |
Pouvoirs |
|
1. Chaque autorité de contrôle a le pouvoir: |
1. En vertu du présent règlement, chaque autorité de contrôle a le pouvoir: |
|
a) d'informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée; |
a) d'informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée, ou de donner au responsable du traitement l'instruction de communiquer la violation de données à caractère personnel à la personne concernée; |
|
b) d'ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée; |
b) d'ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée; |
|
c) d'ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions; |
c) d'ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions; |
|
d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34; |
d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34; |
|
e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant; |
e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant; |
|
f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées; |
f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées; |
|
g) d'interdire temporairement ou définitivement un traitement; |
g) d'interdire temporairement ou définitivement un traitement; |
|
h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale; |
h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale; |
|
i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel; |
i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel; |
|
|
i bis) de certifier les responsables du traitement et les sous-traitants, conformément à l’article 39; |
|
j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel. |
j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel; |
|
|
j bis) de mettre en place des mécanismes efficaces favorisant la notification confidentielle des cas d'infraction au présent règlement, en tenant compte des instructions formulées par le comité européen de la protection des données conformément à l'article 66, paragraphe 4 ter. |
|
2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant: |
2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant sans notification préalable: |
|
a) l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions; |
a) l'accès à toutes les données à caractère personnel et à tous les documents et toutes les informations nécessaires à l'exercice de ses fonctions; |
|
b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement, s'il existe un motif raisonnable de supposer qu’il s'y exerce une activité contraire au présent règlement. |
b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement. |
|
Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres. |
Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres. |
|
3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2. |
3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2. |
|
4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l’article 79, paragraphes 4, 5 et 6. |
4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, conformément à l'article 79. Ce pouvoir est exercé de manière effective, proportionnée et dissuasive. |
Amendement 157 Proposition de règlement Article 54 | |
|
Texte proposé par la Commission |
Amendement |
|
Chaque autorité de contrôle doit établir un rapport annuel sur son activité. Le rapport est présenté au parlement national; il est rendu public et mis à la disposition de la Commission et du comité européen de la protection des données. |
Chaque autorité de contrôle doit établir, au moins une fois tous les deux ans, un rapport sur son activité. Le rapport est présenté au parlement concerné; il est rendu public et mis à la disposition de la Commission et du comité européen de la protection des données. |
Amendement 158 Proposition de règlement Article 54 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 54 bis |
|
|
Autorité chef de file |
|
|
1. Lorsque le traitement de données à caractère personnel a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, ou lorsque des données à caractère personnel de résidents de différents États membres font l’objet de traitements, l’autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est l'autorité chef de file responsable du contrôle des activités de traitement du responsable du traitement ou du sous‑traitant dans tous les États membres, conformément aux dispositions du chapitre VII du présent règlement. |
|
|
2. L'autorité de contrôle chef de file ne prend les mesures qui s'imposent aux fins du contrôle des activités de traitement du responsable du traitement ou du sous‑traitant dont elle est responsable qu'après consultation de toutes les autres autorités de contrôle compétentes au sens du premier paragraphe de l'article 51 en vue de parvenir à un consensus. À cette fin, l'autorité chef de file transmet toutes les informations pertinentes et consulte les autres autorités avant d'adopter toute mesure destinée à produire des effets juridiques vis‑à‑vis d'un responsable du traitement ou d'un sous-traitant au sens du paragraphe 1 de l'article 51. L'autorité chef de file prend pleinement en considération les avis des autorités concernées. L'autorité chef de file est la seule autorité habilitée à prendre des décisions concernant les mesures destinées à produire des effets juridiques vis‑à‑vis des activités de traitement du responsable du traitement ou du sous‑traitant dont elle est responsable. |
|
|
3. Le comité européen de la protection des données émet, à la demande d'une autorité de contrôle compétente, un avis sur l'identification de l'autorité chef de file responsable d'un responsable du traitement ou d'un sous‑traitant dans les cas suivants: |
|
|
a) les éléments du dossier ne permettent pas de déterminer clairement le lieu où se situe l'établissement principal du responsable du traitement ou du sous‑traitant; ou |
|
|
b) les autorités compétentes ne s'accordent pas sur le choix d'une autorité de contrôle comme autorité chef de file; ou |
|
|
c) le responsable du traitement n'est pas établi dans l'Union et des résidents de différents États membres sont concernés par les opérations de traitement dans le cadre du champ d'application du présent règlement. |
|
|
3 bis. Lorsque le responsable du traitement exerce également des activités en tant que sous‑traitant, l'autorité de contrôle du lieu où se situe l'établissement principal du responsable du traitement joue le rôle d'autorité chef de file pour le contrôle des activités de traitement. |
|
|
4. Le comité européen de la protection des données peut décider de l'identification de l'autorité chef de file. |
(Le premier paragraphe de l'amendement du Parlement se fonde sur l'article 51, paragraphe 2, de la proposition de la Commission.) | |
Amendement 159 Proposition de règlement Article 55 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements. |
1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et les enquêtes, et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque le responsable du traitement ou le sous-traitant possède des établissements dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements. L’autorité chef de file définie à l’article 54 bis assure la coordination avec les autorités compétentes impliquées et sert d’interlocuteur unique pour le responsable du traitement ou le sous‑traitant. |
Amendement 160 Proposition de règlement Article 55 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais. |
7. Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais pour l’autorité de contrôle requérante. |
Amendement 161 Proposition de règlement Article 55 – paragraphe 8 | |
|
Texte proposé par la Commission |
Amendement |
|
8. Lorsqu'une autorité de contrôle ne donne pas suite, dans un délai d’un mois, à la demande d'une autre autorité de contrôle, l'autorité de contrôle requérante a compétence pour adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l'article 51, paragraphe 1, et saisit le comité européen de la protection des données de l'affaire conformément à la procédure prévue à l'article 57. |
8. Lorsqu'une autorité de contrôle ne donne pas suite, dans un délai d’un mois, à la demande d'une autre autorité de contrôle, l'autorité de contrôle requérante a compétence pour adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l'article 51, paragraphe 1, et saisit le comité européen de la protection des données de l'affaire conformément à la procédure prévue à l'article 57. Elle peut adopter des mesures provisoires conformément à l'article 53 sur le territoire de l'État membre dont elle relève lorsqu'il n'est pas encore possible d'adopter une mesure définitive parce que la demande d'assistance n'a pas encore été acceptée. |
Amendement 162 Proposition de règlement Article 55 – paragraphe 9 | |
|
Texte proposé par la Commission |
Amendement |
|
9. L'autorité de contrôle précise la durée de validité de la mesure provisoire ainsi adoptée. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission. |
9. L'autorité de contrôle précise la durée de validité de la mesure provisoire ainsi adoptée. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission, conformément à la procédure visée à l'article 57. |
Amendement 163 Proposition de règlement Article 55 – paragraphe 10 | |
|
Texte proposé par la Commission |
Amendement |
|
10. La Commission peut préciser la forme et les procédures de l'assistance mutuelle objet du présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre les autorités de contrôle et le comité européen de la protection des données, notamment le formulaire type mentionné au paragraphe 6. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
10. Le comité européen de la protection des données peut préciser la forme et les procédures de l'assistance mutuelle objet du présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre les autorités de contrôle et le comité européen de la protection des données, notamment le formulaire type mentionné au paragraphe 6. |
Amendement 164 Proposition de règlement Article 56 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans les cas où des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements, une autorité de contrôle de chacun des États membres en cause a le droit de participer aux missions d'enquête conjointes ou aux opérations conjointes, selon le cas. L'autorité de contrôle compétente invite l'autorité de contrôle de chacun de ces États membres à prendre part aux missions d'enquête conjointes ou aux opérations conjointes en cause et donne suite sans délai à toute demande d’une autorité de contrôle souhaitant participer aux opérations. |
2. Dans les cas où le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements, une autorité de contrôle de chacun des États membres en cause a le droit de participer aux missions d'enquête conjointes ou aux opérations conjointes, selon le cas. L'autorité chef de file visée à l'article 54 bis fait participer l'autorité de contrôle de chacun de ces États membres aux missions d'enquête conjointes ou aux opérations conjointes en cause et donne suite sans délai à toute demande d’une autorité de contrôle souhaitant participer aux opérations. L’autorité chef de file sert d’interlocuteur unique pour le responsable du traitement ou le sous-traitant. |
Amendement 165 Proposition de règlement Article 57 | |
|
Texte proposé par la Commission |
Amendement |
|
Mécanisme de contrôle de la cohérence |
Mécanisme de contrôle de la cohérence |
|
Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section. |
Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence, tant sur des questions de portée générale que dans des cas particuliers, conformément aux dispositions de la présente section. |
Amendement 166 Proposition de règlement Article 58 | |
|
Texte proposé par la Commission |
Amendement |
|
Avis du comité européen de la protection des données |
Cohérence des questions d'application générale |
|
1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission. |
1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission. |
|
2. L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui: |
2. L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui: |
|
a) se rapporte aux traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l’observation de leur comportement; ou |
|
|
b) est susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union; ou |
|
|
c) vise à l'adoption d'une liste des traitements devant faire l'objet d'une consultation préalable conformément à l’article 34, paragraphe 5, ou |
|
|
d) vise à la détermination de clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c), ou |
d) vise à la détermination de clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c), ou |
|
e) vise à l'autorisation de clauses contractuelles telles que celles visées à l'article 42, paragraphe 2, point d), ou |
e) vise à l'autorisation de clauses contractuelles telles que celles visées à l'article 42, paragraphe 2, point d), ou |
|
f) vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43. |
f) vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43. |
|
3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56. |
3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question d'application générale soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56. |
|
4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question soit examinée dans le cadre du mécanisme de contrôle de la cohérence. |
4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question d'application générale soit examinée dans le cadre du mécanisme de contrôle de la cohérence. |
|
5. Les autorités de contrôle et la Commission communiquent par voie électronique, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure. |
5. Les autorités de contrôle et la Commission communiquent par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure. |
|
6. Le président du comité européen de la protection des données transmet sans délai aux membres du comité européen de la protection des données et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le président du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles. |
6. Le président du comité européen de la protection des données transmet sans retard injustifié aux membres de ce comité et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le secrétariat du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles. |
|
|
6 bis. Le comité européen de la protection des données adopte un avis sur les questions visées au paragraphe 2. |
|
7. Si ses membres en décident ainsi à la majorité simple, ou à la demande de toute autorité de contrôle ou de la Commission, le comité européen de la protection des données émet un avis sur l'affaire dans un délai d'une semaine après la communication des informations utiles conformément au paragraphe 5. L'avis est adopté dans un délai d’un mois à la majorité simple des membres du comité européen de la protection des données. Le président du comité européen de la protection des données informe sans retard indu l’autorité de contrôle visée, selon le cas, au paragraphe 1 ou au paragraphe 3, la Commission et l'autorité de contrôle compétente en vertu de l'article 51 de l'avis et le publie. |
7. Le comité européen de la protection des données peut décider à la majorité simple d'adopter un avis sur toute question soumise en application des paragraphes 3 et 4 en tenant compte des éléments suivants: |
|
|
a) le caractère novateur de certains éléments de la question, compte étant tenu des évolutions juridiques et factuelles, en particulier dans le domaine des technologies de l'information et à la lumière des progrès de la société de l'information; et |
|
|
b) l'existence d'un avis déjà émis par le comité européen de la protection des données sur la même question. |
|
8. L’autorité de contrôle visée au paragraphe 1 et l'autorité de contrôle compétente en vertu de l'article 51 tiennent compte de l'avis du comité européen de la protection des données et communiquent par voie électronique au président du conseil européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elles maintiennent ou modifient le projet de mesure, et, le cas échéant, communiquent le projet de mesure modifié, au moyen d'un formulaire type. |
8. Le comité européen de la protection des données adopte des avis en application des paragraphes 6 bis et 7 à la majorité simple de ses membres. Ces avis sont rendus publics. |
Amendement 167 Proposition de règlement Article 58 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 58 bis |
|
|
Cohérence des cas particuliers |
|
|
1. Avant d'adopter toute mesure destinée à produire des effets juridiques au sens de l'article 54 bis, l'autorité chef de file partage toutes informations utiles et soumet le projet de mesure à l'ensemble des autres autorités compétentes. Si dans un délai de trois semaines, une autorité compétente a fait savoir qu'elle avait des objections majeures à la mesure concernée, l'autorité chef de file ne l'adopte pas. |
|
|
2. Lorsqu'une autorité compétente a indiqué avoir des objections majeures au projet de mesure de l'autorité chef de file, ou lorsque l'autorité chef de file omet de soumettre pour examen un projet de mesure tel que visé au premier paragraphe ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56, la question est examinée par le comité européen de la protection des données. |
|
|
3. L'autorité chef de file et/ou toute autre autorité compétente concernée ainsi que la Commission communiquent au comité européen de la protection des données, par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure, les motifs rendant nécessaire l'adoption de la mesure, les objections qu'elle suscite et les avis des autres autorités de contrôle concernées. |
|
|
4. Le comité européen de la protection des données examine la question, en tenant compte des retombées du projet de mesure de l'autorité chef de file sur les droits et les libertés fondamentaux des personnes concernées, et décide à la majorité simple de ses membres d'émettre ou non un avis en la matière dans un délai de deux semaines à compter de la réception des informations utiles fournies conformément au paragraphe 3. |
|
|
5. Si le comité européen de la protection des données décide d'émettre un avis, il dispose à cette fin d'un délai de six semaines et rend cet avis public. |
|
|
6. L'autorité chef de file tient dûment compte de l'avis du comité européen de la protection des données et communique par voie électronique au président du comité européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elle maintient ou modifie le projet de mesure, et, le cas échéant, communique le projet de mesure modifié, au moyen d'un formulaire type. Lorsque l'autorité chef de file n'entend pas se conformer à l'avis du comité européen de la protection des données, elle fournit une justification motivée. |
|
|
7. Lorsque le comité européen de la protection des données s'oppose toujours à la mesure de l'autorité de contrôle visée au paragraphe 5, il peut adopter, dans un délai d'un mois et à une majorité des deux tiers, une mesure qui sera contraignante pour l'autorité de contrôle. |
Amendement 168 Proposition de règlement Article 59 | |
|
Texte proposé par la Commission |
Amendement |
|
Article 59 |
supprimé |
|
Avis de la Commission |
|
|
1. Dans un délai de dix semaines à compter de la date à laquelle une question a été soulevée conformément à l’article 58, ou au plus tard dans un délai de six semaines dans le cas visé à l'article 61, la Commission peut, afin d’assurer l’application correcte et cohérente du présent règlement, adopter un avis sur les questions soulevées conformément aux articles 58 ou 61. |
|
|
2. Lorsque la Commission a adopté un avis en vertu du paragraphe 1, l'autorité de contrôle concernée tient le plus grand compte de l’avis de la Commission et indique à la Commission et au comité européen de la protection des données si elle entend maintenir ou modifier son projet de mesure. |
|
|
3. Pendant le délai visé au paragraphe 1, l’autorité de contrôle s'abstient d'adopter le projet de mesure. |
|
|
4. Lorsque l'autorité de contrôle concernée n'entend pas se conformer à l'avis de la Commission, elle en informe la Commission et le comité européen de la protection des données dans le délai visé au paragraphe 1 et motive sa décision. Dans cette éventualité, l'autorité de contrôle s'abstient d'adopter le projet de mesure pendant un délai supplémentaire d’un mois. |
|
Amendement 169 Proposition de règlement Article 60 | |
|
Texte proposé par la Commission |
Amendement |
|
Article 60 |
supprimé |
|
Suspension d’un projet de mesure |
|
|
1. Dans un délai d'un mois à compter de la communication prévue à l’article 59, paragraphe 4, et lorsque la Commission nourrit des doutes sérieux quant à savoir si le projet de mesure permet de garantir la bonne application du présent règlement ou s'il est susceptible, au contraire, d'aboutir à une application non cohérente de celui-ci, la Commission, en tenant compte de l'avis formulé par le comité européen de la protection des données conformément à l'article 58, paragraphe 7, ou à l'article 61, paragraphe 2, peut adopter une décision motivée enjoignant à l'autorité de contrôle de suspendre l'adoption du projet de mesure lorsqu'une telle suspension apparaît requise pour: |
|
|
a) rapprocher les positions divergentes de l'autorité de contrôle et du comité européen de la protection des données, si un tel rapprochement apparaît encore possible; or |
|
|
b) adopter une mesure en vertu de l'article 62, paragraphe 1, point a). |
|
|
2. La Commission précise la durée de la suspension, qui ne peut excéder douze mois. |
|
|
3. Pendant le délai visé au paragraphe 2, l'autorité de contrôle ne peut pas adopter le projet de mesure. |
|
Amendement 170 Proposition de règlement Article 60 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 60 bis |
|
|
Information du Parlement européen et du Conseil |
|
|
Sur la base d’un rapport du président du comité européen de la protection des données, la Commission informe régulièrement le Parlement européen et le Conseil, au moins une fois tous les six mois, des questions traitées dans le cadre du mécanisme de contrôle de la cohérence et fait part des conclusions de la Commission et du comité européen de la protection des données pour garantir l’exécution et l’application cohérente du présent règlement. |
Amendement 171 Proposition de règlement Article 61 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission. |
1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58 bis, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission. |
Amendement 172 Proposition de règlement Article 61 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Par dérogation à l'article 58, paragraphe 7, un avis d'urgence tel que celui visé aux paragraphes 2 et 3 est adopté dans un délai de deux semaines à la majorité simple des membres du comité européen de la protection des données. |
4. Un avis d'urgence tel que celui visé aux paragraphes 2 et 3 est adopté dans un délai de deux semaines à la majorité simple des membres du comité européen de la protection des données. |
Amendement 173 Proposition de règlement Article 62 | |
|
Texte proposé par la Commission |
Amendement |
|
Actes d'exécution |
Actes d'exécution |
|
1. La Commission peut adopter des actes d'exécution pour: |
1. La Commission peut adopter des actes d'exécution d'application générale, après avoir demandé l’avis du comité européen de la protection des données, pour: |
|
a) statuer sur l'application correcte du présent règlement conformément à ses objectifs et exigences quant aux questions soulevées par les autorités de contrôle conformément à l'article 58 ou à l'article 61, quant à une question au sujet de laquelle une décision motivée a été adoptée en vertu de l'article 60, paragraphe 1, ou quant à une affaire dans laquelle une autorité de contrôle omet de soumettre pour examen un projet de mesure et a indiqué qu'elle n'entendait pas se conformer à l'avis de la Commission adopté en vertu de l'article 59; |
|
|
b) statuer, dans le délai fixé à l’article 59, paragraphe 1, sur l'applicabilité générale de projets de clauses types de protection des données telles que celles visées à l’article 58, paragraphe 2, point d); |
b) statuer sur l'applicabilité générale de projets de clauses types de protection des données telles que celles visées à l’article 42, paragraphe 2, point d); |
|
c) définir la forme et les procédures d’application du mécanisme de contrôle de la cohérence prévu par la présente section; |
|
|
d) définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8. |
d) définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8. |
|
Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
|
2. Pour des raisons impérieuses d’urgence dûment justifiées, tenant aux intérêts de personnes concernées dans les cas visés au paragraphe 1, point a), la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 87, paragraphe 3. Ces actes restent en vigueur pendant une période n'excédant pas douze mois. |
|
|
3. L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités. |
3. L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités. |
Amendement 174 Proposition de règlement Article 63 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsqu'une autorité de contrôle omet de soumettre un projet de mesure pour examen dans le cadre du mécanisme de contrôle de la cohérence en violation de l'article 58, paragraphes 1 à 5, la mesure de l'autorité de contrôle est dénuée de validité juridique et de caractère exécutoire. |
2. Lorsqu'une autorité de contrôle omet de soumettre un projet de mesure pour examen dans le cadre du mécanisme de contrôle de la cohérence en violation de l'article 58, paragraphes 1 et 2 ou adopte une mesure malgré la notification d'objection majeure conformément au premier paragraphe de l'article 58 bis, la mesure de l'autorité de contrôle est dénuée de validité juridique et de caractère exécutoire. |
Amendement 175 Proposition de règlement Article 66 | |
|
Texte proposé par la Commission |
Amendement |
|
Missions du comité européen de la protection des données |
Missions du comité européen de la protection des données |
|
1. Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande de la Commission, a notamment pour mission: |
1. Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande du Parlement européen, du Conseil ou de la Commission, a notamment pour mission: |
|
a) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement; |
a) de conseiller les institutions européennes sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement; |
|
b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement; |
b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande du Parlement européen, du Conseil ou de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement, y compris sur l’usage des pouvoirs d’exécution; |
|
c) de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures; |
c) de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures; |
|
d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57; |
d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57; |
|
|
d bis) d’émettre un avis sur la question de savoir quelle autorité qui devrait être l’autorité chef de file, conformément à l’article 54 bis, paragraphe 3; |
|
e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle; |
e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination d'opérations conjointes et d'autres activités conjointes, lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle; |
|
f) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales; |
f) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales; |
|
g) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données. |
g) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données. |
|
|
g bis) de donner son avis à la Commission lors de la préparation des actes délégués et des actes d’exécution basés sur ce règlement; |
|
|
g ter) d’émettre un avis sur les codes de conduites élaborés au niveau de l’Union en application du paragraphe 4 de l'article 38; |
|
|
g quater) de faire connaître son avis sur les critères et les exigences applicables aux mécanismes de certification en matière de protection des données en vertu du paragraphe 3 de l'article 39; |
|
|
g quinquies) de tenir un registre électronique public des certificats valides et invalides conformément au paragraphe 1 nonies de l'article 39; |
|
|
g sexies) de prêter une assistance aux autorités nationales de contrôle, si elles en font la demande; |
|
|
g septies) d'établir et de rendre publique une liste des opérations de traitement devant faire l’objet d’une consultation préalable au titre de l'article 34; |
|
|
g octies) de tenir un registre des sanctions imposées aux responsables du traitement et aux sous‑traitants par les autorités de contrôle compétentes. |
|
2. Lorsque la Commission consulte le comité européen de la protection des données, elle peut fixer un délai dans lequel il doit lui fournir les conseils demandés, selon l'urgence de la question. |
2. Lorsque le Parlement européen, le Conseil ou la Commission consultent le comité européen de la protection des données, ils peuvent fixer un délai dans lequel il doit leur fournir les conseils demandés, selon l'urgence de la question. |
|
3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 87, et il les publie. |
3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques au Parlement européen, au Conseil, à la Commission et au comité visé à l’article 87, et il les publie. |
|
4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité. |
4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité. |
|
|
4 bis. Le comité européen de la protection des données consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 72. |
|
|
4 ter. Le comité européen de la protection des données est chargé d'émettre des lignes directrices, des recommandations et des bonnes pratiques conformément au point b) du premier paragraphe aux fins d'établir des procédures communes pour la collecte et l’examen des informations concernant des allégations de traitement illicite ainsi que de préserver la confidentialité et les sources des informations reçues. |
Amendement 176 Proposition de règlement Article 67 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le comité européen de la protection des données informe la Commission, régulièrement et en temps utile, des résultats de ses activités. Il établit un rapport annuel sur l'état de la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et dans les pays tiers. |
1. Le comité européen de la protection des données informe le Parlement européen, le Conseil et la Commission, régulièrement et en temps utile, des résultats de ses activités. Il établit un rapport au moins tous les deux ans sur l'état de la protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et dans les pays tiers. |
|
Le rapport doit notamment présenter le bilan de l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées à l'article 66, paragraphe 1, point c). |
Le rapport doit notamment présenter le bilan de l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées à l'article 66, paragraphe 1, point c). |
Amendement 177 Proposition de règlement Article 68 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le comité européen de la protection des données prend ses décisions à la majorité simple de ses membres. |
1. Le comité européen de la protection des données prend ses décisions à la majorité simple de ses membres, sauf disposition contraire dans ses règles de procédure. |
Amendement 178 Proposition de règlement Article 69 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le comité européen de la protection des données élit son président et deux vice-présidents en son sein. L'un des vice-présidents est le contrôleur européen de la protection des données, à moins qu'il ait été élu président. |
1. Le comité européen de la protection des données élit son président et au minimum deux vice-présidents en son sein. |
Amendement 179 Proposition de règlement Article 69 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. La fonction de président est une fonction à temps plein. |
Amendement 180 Proposition de règlement Article 71 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le secrétariat fournit, sous la direction du président, un soutien analytique, administratif et logistique au comité européen de la protection des données. |
2. Le secrétariat fournit, sous la direction du président, un soutien analytique, juridique, administratif et logistique au comité européen de la protection des données. |
Amendement 181 Proposition de règlement Article 72 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les débats du comité européen de la protection des données sont confidentiels. |
1. Les débats du comité européen de la protection des données peuvent être confidentiels lorsque cela est nécessaire, sauf disposition contraire de son règlement. Les calendriers des réunions du comité européen de la protection des données sont rendus publics. |
Amendement 182 Proposition de règlement Article 73 | |
|
Texte proposé par la Commission |
Amendement |
|
Droit d’introduire une réclamation auprès d'une autorité de contrôle |
Droit d’introduire une réclamation auprès d'une autorité de contrôle |
|
1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement. |
1. Sans préjudice de tout autre recours administratif ou judiciaire et du mécanisme de contrôle de la cohérence, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement. |
|
2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel. |
2. Tout organisme, organisation ou association qui agit dans l'intérêt public et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel. |
|
3. Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation de données à caractère personnel. |
3. Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation du présent règlement. |
Amendement 183 Proposition de règlement Article 74 | |
|
Texte proposé par la Commission |
Amendement |
|
Droit à un recours juridictionnel contre une autorité de contrôle |
Droit à un recours juridictionnel contre une autorité de contrôle |
|
1. Toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent. |
1. Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent. |
|
2. Toute personne concernée a le droit de former un recours juridictionnel en vue d’obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle, n’informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b). |
2. Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel en vue d’obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle, n’informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b). |
|
3. Les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie. |
3. Les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie. |
|
4. Toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre. |
4. Sans préjudice du mécanisme de contrôle de la cohérence, toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre. |
|
5. Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article. |
5. Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article. |
Amendement 184 Proposition de règlement Article 75 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Une action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique agissant dans l'exercice de ses prérogatives de puissance publique. |
2. Une action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique. |
Amendement 185 Proposition de règlement Article 76 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et 75 au nom d’une ou de plusieurs personnes concernées. |
1. Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74, 75 et 77 s'il est mandaté par une ou plusieurs personnes concernées. |
Amendement 186 Proposition de règlement Article 77 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. |
1. Toute personne ayant subi un dommage, y compris un préjudice extrapatrimonial, du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'exiger du responsable du traitement ou du sous-traitant réparation du préjudice subi. |
Amendement 187 Proposition de règlement Article 77 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage. |
2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun de ces responsables du traitement ou sous-traitants est solidairement responsable de la totalité du montant du dommage, à moins qu’ils ne disposent d’un accord écrit approprié déterminant les responsabilités conformément à l'article 24. |
Amendement 188 Proposition de règlement Article 79 | |
|
Texte proposé par la Commission |
Amendement |
|
Sanctions administratives |
Sanctions administratives |
|
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article. Les autorités de contrôle doivent coopérer, conformément aux termes des articles 46 et 57, afin de garantir une harmonisation des niveaux de sanctions au sein de l’Union. |
|
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation. |
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. |
|
|
2 bis. L’autorité de contrôle inflige à toute personne ne se conformant pas aux obligations énoncées dans le présent règlement l’une au moins des sanctions suivantes: |
|
|
a) un avertissement par écrit lors d'une première infraction non intentionnelle; |
|
|
b) des vérifications périodiques régulières de la protection des données; |
|
|
c) une amende pouvant atteindre 100 000 000 EUR ou au maximum 5 % du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu. |
|
|
2 ter. Si le responsable du traitement ou le sous-traitant est détenteur d’un "label européen de protection des données" valable, conformément à l’article 39, l’amende prévue au point c) du paragraphe 2 bis) sera exclusivement appliquée dans les cas de manquement de propos délibéré ou par négligence. |
|
|
2 quater. La sanction administrative doit tenir compte des facteurs suivants: |
|
|
a) la nature, la gravité et la durée de la non‑conformité; |
|
|
b) du fait que l'infraction a été commise de propos délibéré ou par négligence; |
|
|
c) le degré de responsabilité de la personne physique ou morale et les violations antérieurement commises par elle; |
|
|
d) le caractère répétitif de l'infraction; |
|
|
e) le degré de coopération avec l’autorité de contrôle en vue de remédier à la violation et d'atténuer les éventuels effets négatifs de l'infraction; |
|
|
f) les catégories particulières de données à caractère personnel affectées par l'infraction; |
|
|
g) la gravité du dommage, y compris du préjudice extrapatrimonial, subi par les personnes concernées; |
|
|
h) les mesures prises par le responsable du traitement pour atténuer le préjudice subi par les personnes concernées;
|
|
|
i) tous avantages financiers escomptés ou perçus, ou toutes pertes évitées, imputables directement ou indirectement à l'infraction; |
|
|
j) le niveau des mesures et procédures techniques et d'organisation mises en œuvre conformément à: |
|
|
i) l’article 23 – Protection des données dès la conception et protection des données par défaut;, |
|
|
ii) l'article 30 – Sécurité des traitements; |
|
|
iii) l’article 33 – Analyse d’impact relative à la protection des données; |
|
|
iv) l’article 33 bis – Évaluation de la conformité de la protection des données; |
|
|
v) l’article 35 – Désignation du délégué à la protection des données; |
|
|
k) le refus de coopérer ou l'obstruction faite au déroulement des inspections, audits et contrôles menés par l'autorité de contrôle conformément à l'article 53; |
|
|
l) toute autre circonstance aggravante ou atténuante applicable au cas concerné. |
|
3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction: |
|
|
a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou |
|
|
b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. |
|
|
4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
|
|
a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; |
|
|
b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4. |
|
|
5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
|
|
a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; |
|
|
b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; |
|
|
c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. |
|
|
d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l’article 18; |
|
|
e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; |
|
|
f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; |
|
|
g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. |
|
|
6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
|
|
a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; |
|
|
b) traite des catégories particulières de données en violation des articles 9 et 81; |
|
|
c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19; |
|
|
d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; |
|
|
e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; |
|
|
f) omet de désigner un représentant conformément à l’article 25; |
|
|
g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; |
|
|
h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; |
|
|
i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; |
|
|
j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; |
|
|
k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; |
|
|
l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; |
|
|
m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; |
|
|
n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; |
|
|
o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84. |
|
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2. |
7. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant établi en valeur absolue des amendes administratives prévues au paragraphe 2 bis, en tenant compte des critères et des circonstances énoncés aux paragraphes 2 et 2 quater. |
Amendement 189 Proposition de règlement Article 80 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations aux dispositions sur les principes généraux du chapitre II, sur les droits de la personne concernée du chapitre III, sur le responsable du traitement et le sous-traitant du chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales du chapitre V, sur les autorités de contrôle indépendantes du chapitre VI et sur la coopération et la cohérence du chapitre VII, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression. |
1. Les États membres prévoient des exemptions et dérogations aux dispositions sur les principes généraux du chapitre II, sur les droits de la personne concernée du chapitre III, sur le responsable du traitement et le sous-traitant du chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales du chapitre V, sur les autorités de contrôle indépendantes du chapitre VI, sur la coopération et la cohérence du chapitre VII et sur les cas spécifiques de traitement de données du chapitre IX, chaque fois que cela est nécessaire pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression, conformément à la Charte des droits fondamentaux de l'Union européenne. |
Amendement 190 Proposition de règlement Article 80 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 80 bis |
|
|
Accès aux documents |
|
|
1. Les données à caractère personnel contenues dans les documents détenus par une autorité publique ou un organe public peuvent être divulguées par cette autorité ou cet organe conformément à la législation de l'Union ou de l'État membre relative à l'accès du public aux documents officiels, qui concilie le droit à la protection des données à caractère personnel et le principe du droit d'accès du public aux documents officiels. |
|
|
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
|
Amendement 191 Proposition de règlement Article 81 | |
|
Texte proposé par la Commission |
Amendement |
|
Traitements de données à caractère personnel relatives à la santé |
Traitements de données à caractère personnel relatives à la santé |
|
1. Dans les limites du présent règlement et conformément à l'article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou de la législation d'un État membre qui prévoit des garanties appropriées et spécifiques des intérêts légitimes de la personne concernée, et doivent être nécessaires: |
1. Conformément aux règles établies dans le présent règlement, notamment son article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou de la législation d'un État membre qui prévoit des garanties appropriées, cohérentes et spécifiques des intérêts et droits fondamentaux de la personne concernée, dans le mesure où ils sont nécessaires et proportionnés et où leurs effets sont prévisibles par la personne concernée: |
|
a) aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et lorsque le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne également soumise à une obligation de confidentialité équivalente, par le droit d'un État membre ou par des réglementations arrêtées par les autorités nationales compétentes; ou |
a) aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et lorsque le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne également soumise à une obligation de confidentialité équivalente, par le droit d'un État membre ou par des réglementations arrêtées par les autorités nationales compétentes; ou |
|
b) pour des motifs d'intérêt général dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pour la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité, entre autres pour les médicaments ou les équipements médicaux; ou |
b) pour des motifs d'intérêt général dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pour la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité, entre autres pour les médicaments ou les équipements médicaux et lorsque le traitement de ces données est effectué par une personne soumise à la confidentialité; ou
|
|
c) pour d'autres motifs d'intérêt général dans des domaines tels que la protection sociale, particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance-maladie. |
c) pour d'autres motifs d'intérêt général dans des domaines tels que la protection sociale, particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance-maladie et la fourniture des services de santé. Le traitement de données à caractère personnel relatives à la santé pour des motifs d'intérêt public ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre. |
|
|
1 bis. Lorsqu'il est possible de parvenir aux fins visées aux points a) à c) du paragraphe 1 sans recourir aux données personnelles, ces données ne sont pas utilisées à ces fins, sauf consentement de la personne concernée ou sur la base du droit d'un État membre. |
|
|
1 ter. Lorsque le consentement de la personne concernée est requis pour le traitement de données médicales exclusivement à des fins de recherche scientifique relevant du domaine de la santé publique, le consentement peut être donné pour une ou plusieurs activités de recherche spécifiques et similaires. Néanmoins, la personne concernée peut retirer son consentement à tout moment. |
|
|
1 quater. Pour ce qui concerne le consentement à participer à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes de la directive 2001/20/CE du Parlement européen et du Conseil1 s'appliquent. |
|
2. Les traitements de données à caractère personnel relatives à la santé qui sont nécessaires à des fins de recherche historique, statistique ou scientifique, tels que les registres de patients établis pour améliorer les diagnostics, distinguer entre des types de maladies similaires et préparer des études en vue de thérapies sont soumis aux conditions et aux garanties énoncées à l'article 83. |
2. Les traitements de données à caractère personnel relatives à la santé qui sont nécessaires à des fins de recherche historique, statistique ou scientifique ne sont autorisés qu'avec le consentement de la personne concernée sous réserve des conditions et des garanties prévues à l'article 83. |
|
|
2 bis. La législation des États membres peut prévoir des dérogations à l'exigence de consentement en matière de recherche telle que visée au paragraphe 2 dans les cas où celle-ci sert un intérêt public majeur et ne pourrait être menée à bien d'une autre façon. Les données en question sont anonymisées ou, lorsque cela n'est pas possible aux fins de la recherche, pseudonymisées en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées. Néanmoins, la personne concernée peut exercer son droit d'opposition à tout moment conformément à l'article 19. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'autres motifs d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
3. La Commission est habilitée à adopter, après avoir demandé un avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 86, aux fins de préciser davantage la notion d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), et d'intérêt public majeur dans le domaine de la recherche au sens du paragraphe 2 bis. |
|
|
3 bis. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
|
|
1 Directive 2001/20/CE du Parlement européen et du Conseil du 4 avril 2001 concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres relatives à l'application de bonnes pratiques cliniques dans la conduite d'essais cliniques de médicaments à usage humain (JO L 121 du 1.5.2001, p. 34). |
Amendement 192 Proposition de règlement Article 82 | |
|
Texte proposé par la Commission |
Amendement |
|
Traitements de données en matière d'emploi |
Normes minimales pour le traitement de données dans le contexte de l'emploi |
|
1. Dans les limites du présent règlement, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. |
1. Conformément aux dispositions du présent règlement, et compte tenu du principe de proportionnalité, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés dans le contexte de l'emploi, aux fins, notamment, mais pas uniquement, du recrutement et de la présentation de candidatures à des emplois au sein du groupe d'entreprises, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi et par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. Les États membres peuvent prévoir des conventions collectives afin de préciser davantage les dispositions du présent article. |
|
|
1 bis. La finalité du traitement de telles données doit être liée au motif pour lequel celles-ci ont été recueillies et demeurer dans le contexte de l'emploi. Le profilage ou l'utilisation à des fins secondaires ne sont pas autorisés. |
|
|
1 ter. Le consentement d'un salarié ne constitue pas un fondement juridique valable pour le traitement de données par l'employeur lorsqu'il n'a pas été donné librement. |
|
|
1 quater. Sans préjudice des autres dispositions du présent règlement, les dispositions nationales adoptées par les États membres et visées au paragraphe 1 comportent au moins les normes minimales suivantes: |
|
|
a) le traitement des données des salariés sans qu'ils en aient connaissance n'est pas autorisé. Par dérogation à la première phrase et en ordonnant des délais appropriés pour la suppression des données, les États membres peuvent prévoir par voie législative que le traitement des données soit autorisé dans les cas où des indices réels à consigner justifient la suspicion selon laquelle le salarié a commis un délit ou a gravement manqué à ses obligations dans le cadre de la relation de travail, où la collecte est nécessaire à la détection de l'infraction et où la nature et l'étendue de la collecte sont nécessaires et proportionnées par rapport à la finalité. La sphère privée et l'intimité du salarié sont à protéger à tout moment. L'enquête incombe à l'autorité compétente; |
|
|
b) la surveillance optique et acoustique ouverte, par des moyens électroniques, des parties de l'entreprise qui ne sont pas accessibles au public et qui servent principalement à l'organisation de la vie privée du salarié, comme les sanitaires, les vestiaires, les salles de repos et les chambres à coucher, n'est pas autorisée. La surveillance cachée n'est en aucun cas autorisée; |
|
|
c) si des entreprises ou des autorités prélèvent et traitent des données à caractère personnel dans le cadre d'examens médicaux et/ou de tests d'aptitude, elles doivent indiquer auparavant au candidat ou au salarié à quelles fins ces données sont utilisées et veiller à ce que ces dernières soient ensuite communiquées aux intéressés avec les résultats et qu'elles leur soient expliquées s'ils en font la demande. La collecte des données à des fins de tests et d'analyses génétiques est par principe interdite; |
|
|
d) il est possible de régler par accord collectif la question de savoir si, et dans quelle mesure, l'utilisation du téléphone, du courrier électronique, de l'internet et des autres services de télécommunications est aussi autorisée à des fins privées. Si cette question n'est pas réglée par la négociation collective, l'employeur passe directement un accord avec le salarié. Dans la mesure où une utilisation privée est autorisée, le traitement des données relatives au trafic est notamment autorisé pour garantir la sécurité des données, assurer le bon fonctionnement des réseaux et des services de télécommunications ainsi qu'à des fins de facturation. |
|
|
Par dérogation à la troisième phrase et en ordonnant des délais appropriés pour la suppression des données, les États membres peuvent prévoir par voie législative que le traitement des données soit autorisé dans les cas où des indices réels à consigner justifient la suspicion selon laquelle le salarié a commis un délit ou a gravement manqué à ses obligations dans le cadre de la relation de travail, où la collecte est nécessaire à la détection de l'infraction et où la nature et l'étendue de la collecte sont nécessaires et proportionnées par rapport à la finalité. La sphère privée et l'intimité du salarié sont à protéger à tout moment. L'enquête incombe à l'autorité compétente; |
|
|
e) les données à caractère personnel relatives à des salariés, notamment les données sensibles comme celles portant sur l'orientation politique, l'affiliation et les activités syndicales, ne devraient en aucun cas être utilisées pour inscrire les salariés sur des "listes noires", se renseigner à leur sujet ou leur barrer l'accès à de futurs emplois. Le traitement, l'utilisation dans le contexte de l'emploi ainsi que l'établissement et la transmission de listes noires de travailleurs et toutes autres formes de discrimination sont interdits. Les États membre procèdent à des contrôles et adoptent les sanctions adéquates conformément à l'article 79, paragraphe 6, pour assurer l'application effective du présent point. |
|
|
1 quinquies. Le transfert et le traitement des données à caractère personnel des salariés entre entreprises juridiquement distinctes au sein d'un groupe d'entreprises et avec des professionnels fournissant une assistance juridique et fiscale sont autorisés dans la mesure où ils sont pertinents pour le fonctionnement de l'entreprise et la réalisation d'opérations ou de procédures administratives répondant à une finalité précise et où ils ne s'opposent pas aux droits fondamentaux et aux intérêts à protéger de la personne concernée. Si le transfert de données des salariés est réalisé vers un pays tiers et/ou une organisation internationale, le chapitre V s'applique. |
|
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu des paragraphes 1 et 1 ter, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
3. La Commission est habilitée, après avoir demandé un avis du comité européen de la protection des données, à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
Amendement 193 Proposition de règlement Article 82 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 82 bis |
|
|
Traitement dans le cadre de la sécurité sociale |
|
|
1. Les États membres peuvent, conformément aux règles établies dans le présent règlement, adopter des dispositions législatives spécifiques précisant les conditions du traitement des données à caractère personnel par leurs institutions et services publics de sécurité sociale si ce traitement est effectué dans l'intérêt public. |
|
|
2. Chaque État membre notifie à la Commission les dispositions qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
Amendement 194 Proposition de règlement Article 83 | |
|
Texte proposé par la Commission |
Amendement |
|
Traitements de données à des fins de recherche historique, statistique et scientifique |
Traitements de données à des fins de recherche historique, statistique et scientifique |
|
1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si: |
1. Conformément aux dispositions du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si: |
|
a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée; |
a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée; |
|
b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière. |
b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées. |
|
2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si: |
|
|
a) la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7; |
|
|
b) la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche; or |
|
|
c) la personne concernée a rendu publiques les données en cause. |
|
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause. |
|
Amendement 195 Proposition de règlement Article 83 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 83 bis |
|
|
Traitement de données à caractère personnel par les services d'archive |
|
|
1. Les données à caractère personnel, au‑delà de la durée nécessaire à la réalisation des finalités du traitement initial pour lesquelles elles ont été collectées, peuvent faire l'objet de traitements par les services d'archives qui ont pour mission principale ou obligation légale de collecter, conserver, classer, communiquer, mettre en valeur et diffuser des archives dans l'intérêt général notamment pour la justification des droits des personnes ou à des fins historiques, statistiques ou scientifiques. Ces tâches sont effectuées dans le respect des règles établies par les États membres en matière d'accès, de communicabilité et de diffusion des documents administratifs ou d'archives, et en conformité avec les dispositions du présent règlement, en particulier en ce qui concerne le consentement et le droit d'opposition. |
|
|
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
Amendement 196 Proposition de règlement Article 84 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement, les États membres peuvent adopter des règles spéciales afin de définir les pouvoirs d'investigation des autorités de contrôle visés à l’article 53, paragraphe 2, en ce qui concerne les responsables du traitement ou les sous-traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret. |
1. Conformément aux règles prévues par le présent règlement, les États membres veillent à ce que des règles spéciales soient établies afin de définir les pouvoirs d'investigation des autorités de contrôle visés à l’article 53 en ce qui concerne les responsables du traitement ou les sous-traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous-traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret. |
Amendement 197 Proposition de règlement Article 85 | |
|
Texte proposé par la Commission |
Amendement |
|
Règles existantes des églises et associations religieuses en matière de protection des données |
Règles existantes des églises et associations religieuses en matière de protection des données |
|
1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, un ensemble complet de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec les dispositions du présent règlement. |
1. Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, des règles appropriées relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec les dispositions du présent règlement. |
|
2. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 prévoient la création d'une autorité de contrôle indépendante conformément au chapitre VI du présent règlement. |
2. Les églises et les associations religieuses qui appliquent des règles appropriées conformément au paragraphe 1 obtiennent un avis sur la conformité conformément à l'article 38. |
Amendement 198 Proposition de règlement Article 85 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 85 bis |
|
|
Respect des droits fondamentaux |
|
|
Le présent règlement ne porte pas atteinte à l'obligation de respecter les droits fondamentaux et les principes juridiques fondamentaux consacrés par l'article 6 du TUE. |
Amendement 199 Proposition de règlement Article 85 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 85 ter |
|
|
Formulaires types |
|
|
1. La Commission peut, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données, établir les formulaires types pour: |
|
|
a) les méthodes particulières d'obtention du consentement vérifiable prévu au premier paragraphe de l'article 8; |
|
|
b) la communication visée au paragraphe 2 de l'article 12, y compris sous forme électronique; |
|
|
c) la communication des informations visées aux paragraphes 1 à 3 de l'article 14; |
|
|
d) la demande et l'accès aux informations visées au premier paragraphe de l'article 15, y compris pour la communication des données à caractère personnel à la personne concernée; |
|
|
e) la documentation visée au premier paragraphe de l'article 28; |
|
|
f) les notifications de violations à l'autorité de contrôle conformément à l'article 31 et la documentation visée au paragraphe 4 de l'article 31; |
|
|
g) les consultations préalables visées à l'article 34 et la notification des autorités de contrôle conformément au paragraphe 6 de l'article 34. |
|
|
2. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. |
|
|
3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Amendement 200 Proposition de règlement Article 86 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d’entrée en vigueur du présent règlement. |
2. Le pouvoir d’adopter les actes délégués visé à l’article 13 bis, paragraphe 5, à l’article 17, paragraphe 9, à l’article 38, paragraphe 4, à l’article 39, paragraphe 2, à l'article 41, paragraphe 3, à l’article 41, paragraphe 5, à l'article 43, paragraphe 3, à l'article 79, paragraphe 7, à l'article 81, paragraphe 3, et à l'article 82, paragraphe 3, est conféré à la Commission pour une durée indéterminée à compter de la date d’entrée en vigueur du présent règlement. |
Amendement 201 Proposition de règlement Article 86 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
3. La délégation de pouvoir visée à l’article 13 bis, paragraphe 5, à l'article 17, paragraphe 9, à l’article 38, paragraphe 4, à l’article 39, paragraphe 2, à l’article 41, paragraphe 3, à l’article 41, paragraphe 5, à l’article 43, paragraphe 3, à l’article 79, paragraphe 7, à l’article 81, paragraphe 3, et à l’article 82, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
Amendement 202 Proposition de règlement Article 86 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Un acte délégué adopté en vertu de l'article 6, paragraphe 5, de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 12, paragraphe 5, de l'article 14, paragraphe 7, de l'article 15, paragraphe 3, de l'article 17, paragraphe 9, de l'article 20, paragraphe 6, de l'article 22, paragraphe 4, de l'article 23, paragraphe 3, de l'article 26, paragraphe 5, de l'article 28, paragraphe 5, de l'article 30, paragraphe 3, de l'article 31, paragraphe 5, de l'article 32, paragraphe 5, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 35, paragraphe 11, de l'article 37, paragraphe 2, de l'article 39, paragraphe 2, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7, de l'article 79, paragraphe 6, de l'article 81, paragraphe 3, de l'article 82, paragraphe 3, et de l'article 83, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
5. Un acte délégué adopté en vertu de l'article 13 bis, paragraphe 5, de l'article 17, paragraphe 9, de l'article 38, paragraphe 4, de l'article 39, paragraphe 2, de l'article 41, paragraphe 3, de l'article 41, paragraphe 5, de l'article 43, paragraphe 3, de l'article 79, paragraphe 7, de l'article 81, paragraphe 3, et de l'article 82, paragraphe 3 n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de six mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de six mois à l'initiative du Parlement européen ou du Conseil. |
Amendement 203 Proposition de règlement Article 87 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) n° 182/2011 s’applique, en liaison avec son article 5. |
supprimé |
Amendement 204 Proposition de règlement Article 89 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. L'article 1er, paragraphe 2, de la directive 2002/58/CE est supprimé. |
2. L'article 1er, paragraphe 2, et les articles 4 et 15 de la directive 2002/58/CE sont supprimés. |
Amendement 205 Proposition de règlement Article 89 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. La Commission présente sans délai, et au plus tard à la date visée à l'article 91, paragraphe 2, une proposition de révision du cadre juridique du traitement des données à caractère personnel et de la protection de la vie privée dans le secteur des communications électroniques afin d'harmoniser celui-ci avec le présent règlement et de veiller à l'adoption de règles de droit cohérentes et uniformes pour garantir le droit fondamental de la protection des données à caractère personnel dans l'Union européenne. |
Amendement 206 Proposition de règlement Article 89 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 89 bis |
|
|
Relation avec le règlement (CE) n° 45/2001 et modification de ce règlement |
|
|
1. Les règles prévues par le présent règlement s'appliquent au traitement des données à caractère personnel par les institutions, organes, bureaux et agences de l’Union dans les matières auxquelles ne s'appliquent pas les règles supplémentaires fixées par le règlement (CE) n° 45/2001. |
|
|
2. La Commission présente, sans retard et au plus tard à la date visée à l'article 91, paragraphe 2, une proposition de révision du cadre juridique du traitement des données à caractère personnel par les institutions, organes, bureaux et agences de l'Union. |
Annexe 1 – Présentation des indications visées à l'article 13 bis (nouveau)
1) Compte tenu des dimensions visées au point 6, les indications devraient être présentées comme suit:
2) Dans les lignes de la deuxième colonne du tableau figurant au point 1, intitulée "INFORMATIONS ESSENTIELLES", les termes suivants sont présentés en caractères gras:
a) le terme "collectée" à la première ligne de la deuxième colonne;
b) le terme "conservée" à la deuxième ligne de la deuxième colonne;
c) le terme "traitée" à la troisième ligne de la deuxième colonne;
d) le terme "divulguée" à la quatrième ligne de la deuxième colonne;
e) les termes "vendue ou louée" à la cinquième ligne de la deuxième colonne;
f) le terme "non cryptée" à la sixième ligne de la deuxième colonne.
3) Compte tenu des dimensions visées au point 6, les lignes de la troisième colonne du tableau figurant au point 1, intitulée "POINT RESPECTÉ", doivent être complétées par l'une des deux formes graphiques suivantes, conformément aux critères établis au point 4:
a)
b)
4)
a) Si aucune donnée à caractère personnel n'est collectée au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la première ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point a).
b) Si des données à caractère personnel sont collectées au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la première ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point b).
c) Si aucune donnée à caractère personnel n'est conservée au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la deuxième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point a).
d) Si des données à caractère personnel sont conservées au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la deuxième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point b).
e) Si aucune donnée à caractère personnel n'est traitée à des fins autres que celles pour lesquelles elle a été collectée, la troisième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point a).
f) Si des données à caractère personnel sont traitées à des fins autres que celles pour lesquelles elles ont été collectées, la troisième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point b).
g) Si aucune donnée à caractère personnel n'est divulguée à des tiers commerciaux, la quatrième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point a).
h) Si des données à caractère personnel sont divulguées à des tiers commerciaux, la quatrième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point b).
i) Si aucune donnée à caractère personnel n'est vendue ou louée, la cinquième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point a).
j) Si des données à caractère personnel sont vendues ou louées, la cinquième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point b).
k) Si aucune donnée à caractère personnel n'est conservée de manière non cryptée, la sixième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point a).
l) Si des données à caractère personnel sont conservées de manière non cryptée, la sixième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, point b).
5) Les couleurs de référence des formes graphiques présentées au point 1 sont le Noir Pantone n° 7547 et le Rouge Pantone n° 485. La couleur de référence de la forme graphique présentée au point 3, point a), est le Vert Pantone n° 370. La couleur de référence de la forme graphique présentée au point 3, point b), est le Rouge Pantone n° 485.
6) Les dimensions données dans le dessin gradué ci-dessous doivent être respectées même en cas de réduction ou d'agrandissement du tableau:
- [1] JO C 229 du 31.7.2012, p.90.
EXPOSÉ DES MOTIFS
Introduction
L'article 8 de la Charte des droits fondamentaux de l'Union européenne définit le droit à la protection des données personnelles comme suit:
1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante.
Depuis l'adoption de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, beaucoup de choses ont changé dans le domaine de la protection des données, notamment en termes d'évolution technologique et d'accroissement du volume de la collecte et du traitement des données personnelles, y compris à des fins répressives, dans un contexte de disparité des règles applicables, de mondialisation des marchés et de coopération croissante.
En outre, la directive n'est pas parvenue à instaurer une réelle harmonisation, puisque ses dispositions ont été appliquées de manière différente dans les États membres. Dans ce contexte, les "personnes concernées" éprouvent de plus en plus de difficultés à exercer leur droit à la protection des données.
Cela a en définitive nuit au développement du marché unique, les entreprises (contrôlant ou traitant des données personnelles, "responsables du traitement") et les individus se trouvant confrontés à des exigences différentes en matière de protection des données.
Depuis l'entrée en vigueur du traité de Lisbonne, l'Union dispose d'une base juridique spécifique pour la protection des données qui couvre le traitement de données personnelles dans les secteurs public et privé, mais également dans le contexte de l'application de la loi (cela fait suite à la disparition de la structure en piliers qui existait avant Lisbonne): l'article 16, paragraphe 2 du traité FUE. La Commission a maintenant recours à l'article 16, paragraphe 2, du traité FUE en tant que base juridique pour présenter des propositions de révision du cadre juridique de protection des données de l'Union. Elle propose un règlement (COM (2012)11) qui remplacera la directive 95/46/CE (rapporteur: Jan Philipp Albrecht, Verts/ALE) et une directive (COM(2012)10) qui remplacera la décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (rapporteur: Dimitrios Droutsas, S&D). Les deux rapporteurs soutiennent l'objectif consistant à établir un cadre pleinement cohérent, harmonieux et solide fournissant un degré élevé de protection pour l'ensemble des activités de traitement de données dans l'Union[1]. Pour y parvenir, les propositions de la Commission doivent être envisagées comme faisant partie d'un même ensemble, d'où la nécessité d'une approche législative coordonnée pour les deux textes.
Les rapporteurs et les rapporteurs fictifs, les rapporteurs pour avis et les rapporteurs pour avis fictifs des commissions pour avis (ITRE, IMCO, JURI, EMPL), la présidence du Conseil, la Commission et les parties prenantes (autorités de protection des données, autorités nationales, industrie, organisations de protection des droits civils et des consommateurs, experts universitaires) ont mené des discussions approfondies afin de garantir que l'approche du Parlement bénéficie d'un large soutien.
Un atelier avec les parties prenantes a été organisé par la commission LIBE le 29 mai 2012. La commission LIBE a également tenu sa réunion interparlementaire annuelle de commissions avec les parlements nationaux sur le train de mesures réformant la protection des données dans l'espace de liberté, de sécurité et de justice les 9 et 10 octobre 2012. Quatre documents de travail ont été élaborés sur le train de mesures réformant la protection des données.
Position sur le projet de règlement relatif à la protection des données
La proposition de la Commission se fonde sur les objectifs suivants:
– adopter une approche globale de la protection des données;
– renforcer les droits des personnes;
– faire davantage avancer la dimension internationale du marché et assurer une meilleure mise en œuvre des règles en matière de protection des données; et
– renforcer la dimension mondiale.
Le rapporteur soutient ces objectifs. Son approche est donc présentée suivant ce modèle.
Adopter une approche globale de la protection des données
Comme cela apparaît dans le document de travail du 6 juillet 2012[2], le rapporteur se félicite que la Commission ait choisi de remplacer la directive 95/46 par un règlement (directement applicable), puisque cela devrait mettre fin à l'approche fragmentée de la protection des données dans les États membres.
Il approuve l'approche pragmatique de la Commission, qui laisse aux États membres, conformément au règlement, la possibilité de maintenir ou d'adopter des règles spécifiques concernant des questions telles que la liberté d'expression, le secret professionnel, la santé et l'emploi (articles 81 à 85). Il est notamment fait référence aux travaux de la commission de l'emploi et des affaires sociales, qui doit émettre un avis sur l'article 82[3].
Les institutions de l'Union européenne n'entrent pas dans le champ d'application du nouveau règlement. Elles devraient toutefois être couvertes, afin de garantir un cadre cohérent et uniforme dans l'ensemble de l'Union. Cela impliquera une modification des instruments juridiques de l'Union, notamment le règlement (CE) n° 45/2001, afin de les mettre en pleine conformité avec le règlement général relatif à la protection des données avant l'entrée en vigueur de ce dernier. Le rapporteur estime qu'il convient également de procéder à un débat plus horizontal devant l'actuel ensemble disparate de règles en matière de protection des données qui régit les différentes agences de l'Union (telles qu'Europol et Eurojust) et de garantir la cohérence avec le train de mesures réformant la protection des données (article 2, point b), article 89 bis).
Le rapporteur déplore vivement que la proposition de la Commission ne couvre pas la coopération entre les services répressifs (une directive spécifique étant proposée sur ce sujet). Il en résulte une insécurité juridique en ce qui concerne les droits et obligations dans les cas équivoques, par exemple l'accès d'autorités répressives à des données commerciales à des fins répressives et les transferts entre autorités répressives et autorités d'une autre nature. Le rapport sur la directive proposée examine ces questions et propose des amendements. Le règlement précise que l'exclusion du champ d'application du règlement ne concerne que les autorités publiques en charge d'activités répressives (et non les entités privées) et que la législation applicable devrait prévoir des garanties adéquates basées sur les principes de nécessité et de proportionnalité (article 2, point e), article 21).
Le champ d'application territorial du règlement est un élément important pour une application cohérente de la législation de l'Union européenne en matière de protection des données. Le rapporteur souhaite préciser que le règlement devrait également s'appliquer à un responsable du traitement qui n'est pas établi dans l'Union lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes concernées dans l'Union, que ces biens ou services fassent l'objet d'un paiement ou non, ou à l'observation du comportement de ces personnes (article 3, paragraphe 2).
Le règlement doit également être exhaustif en ce qui concerne la sécurité juridique. Le large recours à des actes délégués et à des actes d'exécution va à l'encontre de cet objectif. Le rapporteur propose donc la suppression d'un certain nombre de dispositions conférant à la Commission le pouvoir d'adopter des actes délégués. Toutefois, afin de renforcer la sécurité juridique lorsque cela est possible, le rapporteur a remplacé plusieurs actes par des formulations plus détaillées dans le règlement (par exemple, article 6, paragraphe 1 ter, article 15, article 35, paragraphe 10). Dans d'autres cas, le rapporteur propose de charger le comité européen de la protection des données (CEPD) de préciser les critères et exigences relatifs à une disposition particulière plutôt que d'octroyer à la Commission le pouvoir d'adopter un acte délégué. La raison en est que, dans ces cas, les questions concernées ont trait à la coopération entre les contrôleurs nationaux et ceux-ci sont donc mieux placés pour établir les principes et pratiques à mettre en œuvre (par exemple, article 23, paragraphe 3, article 30, paragraphe 3, article 42, paragraphe 3, article 44, paragraphe 7 et article 55, paragraphe 10).
Renforcer les droits des personnes
Le règlement met en œuvre un droit fondamental. Toute restriction de son champ d'application, notamment en ce qui concerne la définition des "données personnelles", par exemple à travers l'introduction d'éléments subjectifs liés aux efforts que le responsable du traitement devrait déployer pour identifier les données personnelles, est donc rejetée. Le concept de données personnelles est explicité à l'aide de critères objectifs (article 4, paragraphe 1; considérants 23 et 24). Il est possible de répondre aux préoccupations légitimes relatives aux modèles commerciaux particuliers sans porter atteinte aux droits fondamentaux des personnes. Dans ce contexte, le rapporteur encourage le recours à la pseudonymisation et à l'anonymisation. Pour l'utilisation de données pseudonymes, on pourrait prévoir un assouplissement des obligations du responsable du traitement (article 4, point 2 bis, article 4, point 10, considérant 23).
Le consentement devrait demeurer l'élément clé de l'approche de la protection des données de l'Union européenne, puisqu'il s'agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement des données. L'information communiquée aux personnes concernées devrait être présentée de façon simple et compréhensible, notamment au moyen de logos et d'icônes normalisées (article 11, paragraphes 2 bis et 2 ter). Les normes techniques qui expriment une volonté claire du sujet peuvent être vues comme une forme valable de consentement expresse (article 7, paragraphe 2 bis, article 23).
Pour garantir un consentement éclairé dans le cadre d'activités de profilage, ces dernières doivent être définies et réglementées (article 4, point 3 ter, article 14, paragraphe 1, points g), g bis) et g ter), article 15, paragraphe 1, article 20). D'autres bases juridiques pour le traitement, outre le consentement, devraient être clairement définies, notamment les "intérêts légitimes" du responsable du traitement (amendement remplaçant l'article 6, paragraphe 1, point f) par un nouvel article 6, paragraphes 1 bis, 1 ter et 1 quater).
La "limitation de la finalité" est un élément clé de la protection des données, étant donné qu'elle protège les personnes concernées d'un prolongement non prévu du traitement des données. Une modification de la destination des données à caractère personnel après leur collecte ne devrait pas être possible sur la seule base d'un intérêt légitime du responsable des données. Le rapporteur propose de supprimer l'article 6, paragraphe 4, plutôt que d'élargir sa portée.
Le rapporteur soutient le renforcement du droit d'accès, avec un droit à la portabilité des données - la possibilité de transférer des données d'une plateforme à une autre. À l'ère numérique, les personnes concernées, également en leur qualité de personnes consommatrices, sont en droit de recevoir leurs informations personnelles sous une forme électronique couramment utilisée (article 15, paragraphe 2 bis). Il propose donc de fusionner les articles 15 et 18.
Le droit à l'effacement et le droit à la rectification sont importants pour les personnes concernées car de plus en plus d'informations sont diffusées, ce qui peut être lourd de conséquences. Le "droit à l'oubli" devrait être envisagé sous cet angle; les amendements proposés précisent ces droits pour l'environnement numérique, tout en maintenant l'exception générale pour la liberté d'expression. Lorsque des données sont transférées à des tiers ou publiées sans base juridique adéquate, le premier responsable du traitement devrait être tenu d'informer ces tiers et de veiller à la suppression des données. Toutefois, lorsque la personne a consenti à la publication de ses données, un "droit à l'oubli" n'est ni légitime, ni réaliste (article 17, considérant 54).
Le droit à s'opposer à un nouveau traitement des données devrait toujours pouvoir être exercé gratuitement et devrait être explicitement accordé à la personne concernée en des termes clairs, simples et adéquats (article 19, paragraphe 2). Il convient d'améliorer les possibilités de recours efficace, y compris par des associations agissant dans l'intérêt public (articles 73 et 76).
Faire davantage avancer la dimension internationale du marché et assurer une meilleure mise en œuvre des règles en matière de protection des données
Le rapporteur soutient le passage proposé d'une obligation de notification aux autorités de protection des données à une responsabilisation effective et à la nomination de délégués à la protection des données. La proposition de règlement peut être simplifiée en fusionnant les droits à l'information et les exigences en matière de documentation, qui constituent en réalité les deux faces d'une même médaille. Cela permettra de réduire la charge administrative pour les responsables des données et facilitera la compréhension et l'exercice de leurs droits pour les personnes concernées (articles 14 et 28). À l'ère de l'informatique en nuage, le seuil à partir duquel il est obligatoire de désigner un délégué à la protection des données ne devrait pas se fonder sur la taille de l'entreprise, mais plutôt sur l'importance du traitement des données (catégorie de données à caractère personnel, type de traitement et nombre de personnes dont les données sont traitées (article 35). Il est précisé que la fonction de délégué à la protection des données peut être exercée à temps partiel, en fonction de la taille de l'entreprise et de l'importance du traitement des données (considérant 75).
La protection des données dès la conception et par défaut est saluée comme la grande innovation de la réforme. Cela garantirait le traitement de données qui sont uniquement nécessaires à un objectif précis. Les producteurs et les fournisseurs de services sont appelés à mettre en œuvre des mesures adéquates. Le comité européen de la protection des données devrait être chargé de fournir des orientations supplémentaires (article 23). Les amendements concernant les analyses d'impact sur la vie privée visent à définir plus précisément les situations dans lesquelles il y a lieu de procéder à ce type d'évaluation (article 33, paragraphe 2) et les éléments à évaluer (article 33, paragraphe 3).
Le rapporteur suggère de faire passer de 24 à 72 heures le délai de notification d'une violation de données à caractère personnel à l'autorité de contrôle. En outre, en vue d'éviter une "lassitude" éventuelle chez les personnes concernées, seuls les cas où une violation des données est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, notamment en cas de vol ou d'usurpation d'identité, de perte financière, de dommage physique, d'humiliation grave ou d'atteinte à la réputation, devraient être notifiés à la personne concernée. La notification devrait également contenir une description de la nature de la violation et des informations concernant les droits, y compris les possibilités de recours (articles 31 et 32). En ce qui concerne les notifications de violations, les analyses d'impact et le droit à l'effacement et à l'oubli, il est proposé que la Commission adopte des actes délégués avant la date d'entrée en vigueur du règlement, afin de garantir la sécurité juridique (article 86, paragraphe 5 bis).
Les codes de conduite ainsi que la certification et les labels sont encouragés, mais il convient également de prévoir des incitations à l'établissement et à l'utilisation de règles plus claires sur les principes qu'ils doivent contenir et les conséquences pour ce qui concerne la légalité du traitement des données, la responsabilité et les questions connexes. Les codes de conduite déclarés conformes au règlement par la Commission confèrent aux personnes concernées des droits opposables. Les labels de certification établissent la procédure d'octroi et de retrait du label et doivent garantir la conformité avec les principes de protection des données et les droits de la personne concernée (articles 38 et 39).
Le règlement devrait également mettre en place un cadre de travail uniforme pour toutes les autorités chargées de la protection des données. Or, pour que le nouveau règlement se révèle opérant, il est capital que ces autorités soient pleinement indépendantes et soient dotées de ressources suffisantes pour leur permettre de mener à bien leurs missions (article 47). La coopération entre les autorités de protection des données sera également renforcée dans le contexte du comité européen de la protection des données (qui remplacera l'actuel "groupe de protection de l'article 29"). Le rapporteur estime que le mécanisme prévu pour assurer la coopération entre les autorités nationales chargées de la protection des données et la cohérence de leurs actions augure très favorablement d'une application cohérente de la législation en matière de protection des données partout dans l'Union. Le modèle proposé par la Commission ne garantit toutefois pas la nécessaire indépendance des autorités de protection des données. Après avoir étudié plusieurs options, un nouveau mécanisme est proposé qui maintient l'idée d'une autorité chef de file, mais prévoit également une coopération étroite entre les autorités afin de garantir la cohérence (article 51 et article 55 bis). En pratique, une autorité de protection des données est compétente pour contrôler les traitements effectués sur son territoire ou affectant des personnes résidant sur son territoire. Pour les activités d'un responsable du traitement ou d'un sous-traitant établi dans plus d'un État membre ou affectant des personnes concernées dans plusieurs États membres, l'autorité de protection des données de l'établissement principal sera l'autorité chef de file et servira de point de contact unique pour le responsable ou le sous-traitant (guichet unique). L'autorité chef de file assure la coordination avec les autorités concernées et consulte les autres autorités avant de prendre des mesures. Le CEPD désigne l'autorité chef de file dans les cas douteux ou lorsque les autorités de protection des données n'approuvent pas. Lorsqu'une autorité de protection des données n'approuve pas le projet de mesure proposé par l'autorité chef de file, le CEPD émet un avis. Si l'autorité chef de file n'entend pas suivre l'avis du comité européen de la protection des données, elle en informe ce dernier et la Commission et motive sa décision. Le CEPD peut adopter une décision finale, à la majorité qualifiée, qui sera contraignante pour l'autorité de contrôle. Cette décision peut faire l'objet d'un contrôle juridictionnel (articles 45 bis, 55 et 58). La Commission peut également contester cette décision devant la Cour de justice de l'Union européenne et demander la suspension de la mesure (article 61 bis).
Le rapporteur soutient le renforcement des autorités de protection des données en ce qui concerne les pouvoirs d'investigation et les sanctions. La proposition de la Commission était toutefois trop normative. Il propose un système simplifié qui donne davantage de latitude aux autorités de protection des données tout en chargeant le CEPD de veiller à la cohérence de la mise en œuvre (articles 52, 53, 78 et 79). Le régime de sanctions est clarifié en introduisant des critères objectifs qu'il y a lieu de prendre en compte afin de déterminer le niveau de l'amende qu'une autorité chargée de la protection des données peut imposer.
Renforcer la dimension mondiale
Le pouvoir dont dispose la Commission d'adopter des décisions reconnaissant le caractère adéquat ou non du niveau de protection dans un État tiers, sur un territoire d'un État tiers et dans les organisations internationales est maintenu. La nouvelle option proposée, qui consiste à reconnaître des secteurs dans les pays tiers, est toutefois rejetée par le rapporteur puisqu'elle accroîtrait l'insécurité juridique et irait à l'encontre de l'objectif de l'Union de mise en place d'un cadre international harmonisé et cohérent de protection des données. Les critères d'évaluation du caractère adéquat du niveau de protection dans un État tiers sont renforcés (article 41, paragraphe 2). Il est également proposé que les décisions de la Commission en la matière prennent la forme d'actes délégués plutôt que d'actes d'exécution, afin de permettre au Conseil et au Parlement d'exercer leur droit de contrôle (article 41, paragraphes 3 et 5).
En l'absence de décision relative au caractère adéquat du niveau de protection, afin d'apporter des protections et des garanties appropriées, le responsable du traitement ou le sous-traitant devrait prendre des mesures adéquates telles que des règles d'entreprises contraignantes, des clauses standard de protection des données adoptées par la Commission ou une autorité de contrôle. Les amendements à l'article 41, paragraphe 1 bis, et à l'article 42 précisent et détaillent les garanties essentielles que ces instruments devraient contenir.
Un nouvel article 43 bis est proposé pour régler la question des demandes émises par des autorités publiques ou des tribunaux d'États tiers pour accéder à des données à caractère personnel stockées et traitées dans l'Union. L'autorité de protection des données ne devrait autoriser le transfert qu'après avoir vérifié que celui-ci est conforme au règlement, et en particulier à son article 44, paragraphe 1, point d) ou e). Cette situation prendra encore davantage d'importance avec le développement de l'informatique en nuage et il convient donc qu'une solution soit prévue ici.
Synthèse
Le rapporteur soutient l'objectif consistant à renforcer le droit à la protection des données à caractère personnel tout en garantissant un cadre juridique uniforme et en réduisant la charge administrative pour les responsables du traitement. Il propose de limiter le rôle de la Commission dans la mise en œuvre du minimum nécessaire en précisant les éléments essentiels dans le texte du règlement lui-même, leur mise en œuvre pratique relevant du mécanisme de coopération des autorités de protection des données. Il propose d'insister davantage sur le rôle des mesures technologiques dans la protection des données à caractère personnel et le contrôle de l'application, tout en incitant les responsables du traitement à utiliser ces mesures. Conformément à l'approche de responsabilisation, le rôle des délégués à la protection des données est renforcé, alors que l'exigence de consultation préalable des autorités de contrôle est réduite. Les institutions, organes et agences de l'Union devraient être régis par le même cadre règlementaire à moyen terme. Si ces éléments rencontrent le soutien du Parlement, du Conseil et de la Commission, le nouveau cadre juridique de protection des données constituera une avancée non seulement pour les personnes concernées, mais également pour les responsables du traitement, et il devrait résister à l'épreuve du temps pour les années à venir.
Dans le cadre des travaux approfondis menés avec les rapporteurs fictifs de tous les groupes politiques et les rapporteurs pour avis, le rapporteur a élaboré un grand nombre d'amendements qui sont le reflet des discussions menées entre les collègues concernés. En ce qui concerne plus particulièrement les principes, les bases juridiques du traitement des données à caractère personnel, les droits des personnes concernées, les dispositions relatives au responsable du traitement et au sous-traitant, le mécanisme de contrôle de la cohérence et les sanctions, plusieurs compromis ont été intégrés au rapport. Le rapporteur espère que ses propositions fourniront une base solide en vue d'un accord rapide au sein du Parlement européen et des négociations avec le Conseil au cours de la présidence irlandaise.
AVIS de la commission de l'emploi et des affaires sociales (4.3.2013)
à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Rapporteure pour avis: Nadja Hirsch
JUSTIFICATION SUCCINCTE
La rapporteure pour avis accueille favorablement le règlement à l'examen et se félicite expressément de son objectif visant à poursuivre l'harmonisation de la protection des données au sein de l'Union européenne.
Le présent avis poursuit l'objectif suivant. Il va de soi que l'on ne peut pas réglementer l'ensemble de la protection des données des salariés européens en un seul article. Il s'agit plutôt de fixer certains éléments essentiels. Eu égard à la réalisation d'un véritable marché européen en matière d'emploi, il peut être envisagé, dans un deuxième temps, de réglementer à l'échelon européen la protection des données des salariés. Cela serait possible sur la base de l'article 288 du traité sur le fonctionnement de l'Union européenne.
Bien qu'une grande partie du traitement des données au sein de l'Union ait un rapport avec la relation de travail, la protection des données des salariés trouve seulement une place modeste dans le règlement à l'examen. Par ailleurs, le niveau d'abstraction du règlement rend souvent difficile une interprétation des règles dans le contexte de l'emploi.
La rapporteure est d'avis que la meilleure façon de tenir compte des défis de la protection des données des salariés dans le cadre de ce règlement consiste à limiter son avis à l'article 82. Cet article offre la possibilité d'étendre le contenu et de rassembler les différents articles pertinents de ce règlement en matière de protection des données des salariés.
Concernant l'article 82, paragraphe 1, et le considérant 124
Au stade actuel, et notamment dans le domaine de la protection des données des salariés, le règlement à l'examen ne peut offrir qu'une protection minimale. Il doit rester possible pour chaque État membre de fixer des normes plus avantageuses pour les salariés. De plus, il doit être également possible de fixer ces normes dans des conventions collectives. La formulation "dans les limites du présent règlement" est à rejeter pour plusieurs raisons. Premièrement, elle est en contradiction avec l'exception sectorielle générale visée à l'article 82 et pourrait conduire à une situation extrêmement confuse en combinaison avec les actes délégués proposés par la Commission à l'article 82. Deuxièmement, dans le pire des cas, cela pourrait signifier que les États membres ne peuvent pas adopter de règles plus poussées. Enfin, cette formulation semble avoir été choisie de façon arbitraire, étant donné que pour d'autres clauses d'ouverture, par exemple dans le domaine des médias, cette limitation n'existe pas.
Concernant l'article 82, paragraphe 1 ter
Du fait que la Commission n'a jusqu'à présent pas fait de proposition sur la protection des données des salariés, et compte tenu du peu de contenu sur la protection des données des salariés dans le règlement, il est nécessaire de fixer quelques normes minimales européennes concernant le niveau de protection. Les points a), b), c) et d) proposés ici ne sont pas à considérer comme une liste exhaustive mais plutôt comme des éléments essentiels d'un droit européen complet en matière de protection des données.
Concernant l'article 82, paragraphe 1 quater
Le délégué à la protection des données joue un rôle extrêmement important. Il doit par conséquent être parfaitement clair qu'il peut assumer ses fonctions sans devoir craindre de pressions ou d'influences extérieures et agir dans l'intérêt des salariés. Il est par conséquent opportun de prévoir une protection spécifique contre le licenciement et une interdiction de discrimination.
Concernant l'article 82, paragraphe 1 sexies, et le considérant 124 bis (nouveau)
La proposition de la Commission ne précise pas suffisamment les exigences en matière de transfert des données au sein d'un même groupe dans l'Union européenne. Il convient d'y remédier, dans le respect des intérêts des salariés.
Concernant l'article 82, paragraphe 1 septies, et le considérant 34
Exclure complètement le consentement comme base du traitement n'est pas pertinent dans le cadre d'une relation de travail. La rapporteure propose par conséquent que même dans des situations de "déséquilibre", un consentement soit possible lorsqu'il vise à entraîner des conséquences juridiques ou économiques avantageuses pour le salarié.
Concernant l'article 82, paragraphe 3
La rapporteure est d'avis que les actes délégués ne devraient s'appliquer que lorsque le règlement doit être adapté de façon rapide et flexible, dans des éléments non matériels, aux innovations techniques et de sécurité. La formulation de la Commission à ce sujet était jusqu'à présent trop générale. En outre, parallèlement au paragraphe 1, le nouveau paragraphe 1 quater devrait également pouvoir être précisé par des actes délégués.
Concernant l'article 82, paragraphe 3 bis
Cette clause de révision permet une nouvelle évaluation de la proposition.
AMENDEMENTS
La commission de l'emploi et des affaires sociales invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de règlement Considérant 34 | |
|
Texte proposé par la Commission |
Amendement |
|
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre de pouvoir manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Dans ce contexte, le traitement des données représente une exception lorsqu'il vise à entraîner des conséquences avantageuses, essentiellement de nature juridique ou économique, pour le salarié. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
Amendement 2 Proposition de règlement Considérant 75 | |
|
Texte proposé par la Commission |
Amendement |
|
(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il est effectué par une grande entreprise ou par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance. |
(75) Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il est effectué par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance. Le traitement devrait être assuré par une personne morale et se rapporter à plus de 250 personnes par an. |
Amendement 3 Proposition de règlement Considérant 124 | |
|
Texte proposé par la Commission |
Amendement |
|
(124) Les principes généraux concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel devraient également être applicables dans le contexte de l'emploi. En conséquence, pour réglementer le traitement des données à caractère personnel des salariés dans ce contexte, les États membres devraient pouvoir, dans les limites du présent règlement, adopter par voie législative des règles spécifiques au traitement des données à caractère personnel dans le secteur de l'emploi.
|
(124) Les principes généraux concernant la protection des personnes physiques à l'égard du traitement des données à caractère personnel devraient également être applicables dans le contexte de l'emploi. Les États membres devraient pouvoir réglementer le traitement des données à caractère personnel des salariés dans ce contexte, en veillant au respect des règles et normes minimales fixées dans le présent règlement. Dans la mesure où il existe, dans l'État membre respectif, une base juridique qui permet de réglementer les affaires relevant des relations de travail par une convention entre les représentants des salariés et la direction de l'entreprise ou de l'entreprise qui exerce le contrôle d'un groupe (convention collective), ou en vertu de la directive 2009/38/CE du Parlement européen et du Conseil du 6 mai 2009 concernant l'institution d'un comité d'entreprise européen ou d'une procédure dans les entreprises de dimension communautaire et les groupes d'entreprises de dimension communautaire en vue d'informer et de consulter les travailleurs1, le traitement des données à caractère personnel des salariés dans un contexte d'emploi peut également être réglementé par une telle convention; dans ce cas particulier, il existe la possibilité de dérogations et d'exceptions conformément à la législation et aux pratiques nationales. |
|
|
________________ |
|
|
1 JO L 122 du 16.5.2009, p. 28. |
Amendement 4 Proposition de règlement Considérant 124 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(124 bis) Pour préserver les intérêts économiques en rapport direct avec la relation de travail, il devrait être autorisé de transmettre et traiter les données des salariés à l'intérieur d'un groupe d'entreprises. Cette procédure ne doit pas s'opposer aux intérêts à protéger des personnes concernées. Les données relatives aux salariés comprennent tous types de données à caractère personnel des personnes concernées en rapport direct avec la relation de travail. Les dispositions de l'article 82, paragraphe 1 sexies, du présent règlement tiennent compte de la pratique courante consistant à traiter les données des salariés à l'intérieur d'un groupe d'entreprises. |
Amendement 5 Proposition de règlement Article 3 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Le présent règlement s'applique au traitement des données à caractère personnel de personnes concernées ne résidant pas sur le territoire de l'Union, par un responsable du traitement ou un sous-traitant établi dans l'Union, du fait de leurs activités économiques dans un ou plusieurs pays tiers. |
Amendement 6 Proposition de règlement Article 6 – paragraphe 1 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement ou par le ou les tiers auxquels les données sont divulguées, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
Justification | |
Pour que le système de négociation collective fonctionne correctement, les syndicats doivent avoir la possibilité de surveiller le respect des conventions collectives. À ce jour, ceci s'effectue dans le cadre de l'article 7, point f), de la directive 95/46/CE. L'article 7, point f), reconnaît l'intérêt légitime d'un tiers à traiter des données à caractère personnel. L'employeur est la plupart du temps considéré comme le responsable du traitement et le syndicat comme le tiers. | |
Amendement 7 Proposition de règlement Article 6 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. |
supprimé |
Justification | |
Les dispositions sur la licéité du traitement constituent le point central des règles sur la protection des données. Les dispositions sur les actes délégués devant se limiter uniquement aux éléments non essentiels du règlement, il convient de supprimer le paragraphe 5. | |
Amendement 8 Proposition de règlement Article 9 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
Amendement 9 Proposition de règlement Article 14 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel. |
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel. Cela inclut des données communiquées illégalement par un tiers et transmises au responsable du traitement. |
Amendement 10 Proposition de règlement Article 17 – paragraphe 6 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
6 bis. Tout en répondant aux exigences du présent règlement, visant en particulier le respect de la vie privée dès la conception, les dispositions des paragraphes 4 et 6 du présent article n'affectent pas le droit des autorités publiques de conserver des données pour pouvoir disposer de preuves documentaires sur un dossier donné. |
Amendement 11 Proposition de règlement Article 28 – paragraphe 4 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale. |
b) entreprises ou organismes traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale. |
Justification | |
La limite de 250 salariés place les employeurs dans des positions inégales, est discriminatoire à l'égard des entreprises de taille plus importante et n'est nullement nécessaire pour atteindre l'objectif fixé. Le nombre de salariés n'a pas de corrélation avec la quantité ou le type de données à caractère personnel conservées par l'organisme. Un petit organisme comptant seulement quelques salariés peut contrôler une quantité importante de données à caractère personnel déléguées et vice versa. En outre, cette limite n'est pas facile à interpréter dans tous ses aspects. | |
Amendement 12 Proposition de règlement Article 35 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque: |
1. Le responsable du traitement et le sous‑traitant désignent systématiquement un délégué à la protection des données, après approbation des représentants des intérêts du personnel dans l'entreprise, lorsque: |
Amendement 13 Proposition de règlement Article 35 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) le traitement est effectué par une autorité ou un organisme publics; ou |
a) le traitement est effectué par une autorité ou un organisme publics ou en leur nom; ou |
Amendement 14 Proposition de règlement Article 35 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement est effectué par une entreprise employant 250 personnes ou plus; ou |
b) le traitement est effectué par une personne morale et se rapporte à plus de 250 personnes par an; ou |
Amendement 15 Proposition de règlement Article 35 – paragraphe 1 – point b bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
b bis) les données traitées sont d'une nature particulièrement sensible, par exemple médicale; ou |
Amendement 16 Proposition de règlement Article 35 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans le cas visé au paragraphe 1, point b), un groupe d'entreprises peut désigner un délégué à la protection des données unique. |
2. Un groupe d'organismes visé au paragraphe 1, points a) et b), peut désigner un délégué à la protection des données unique, lorsqu'une seule juridiction est concernée. |
Justification | |
Les autorités publiques fonctionnent à l'heure actuelle sous la forme de quasi-entreprises dans de nombreux domaines. Le règlement ne saurait interdire la possibilité de désigner un délégué à la protection des données unique pour un groupe composé d'entités tant publiques que privées. | |
Amendement 17 Proposition de règlement Article 82 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Traitements de données en matière d'emploi |
Normes minimales pour le traitement de données en matière d'emploi |
Amendement 18 Proposition de règlement Article 82 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. |
1. En harmonie avec les dispositions du présent règlement, et compte tenu du principe de proportionnalité, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, mais pas uniquement, du recrutement et de la présentation de candidatures à des emplois au sein du groupe d'entreprises, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi et par des conventions collectives, des accords d'entreprise et des accords collectifs, conformément au droit et aux pratiques nationales, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. |
|
|
Le niveau de protection du présent règlement est un seuil minimal à respecter. Sans préjudice de la phrase précédente, le niveau de protection accordé par le présent règlement ne saurait être sensiblement abaissé lorsque des règles sont adoptées sous forme de conventions entre les représentants des salariés et la direction de l'entreprise ou de l'entreprise qui exerce le contrôle d'un groupe. |
|
|
N'est pas affecté le droit des États membres – ou des partenaires sociaux par le biais de conventions collectives – de prévoir des règles de protection plus favorables pour les salariés en ce qui concerne le traitement des données à caractère personnel dans le contexte de l'emploi. |
Amendement 19 Proposition de règlement Article 82 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. La finalité du traitement de telles données doit être directement liée au motif pour lequel celles-ci ont été recueillies et demeurer dans le contexte de l'emploi. Le profilage ou l'utilisation à des fins secondaires ne sont pas autorisés. |
Amendement 20 Proposition de règlement Article 82 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Sans préjudice des autres dispositions du présent règlement, les dispositions nationales adoptées par les États membres et visées au paragraphe 1 comportent au moins les normes minimales suivantes: |
|
|
a) Le traitement des données des salariés sans qu'ils en aient connaissance n'est pas autorisé. Par dérogation à la première phrase et en ordonnant des délais appropriés pour la suppression des données, les États membres peuvent prévoir par voie législative que le traitement des données soit autorisé dans les cas où des indices réels à consigner justifient la suspicion selon laquelle le salarié a commis un délit ou a gravement manqué à ses obligations dans le cadre de la relation de travail, où la collecte est nécessaire à la détection de l'infraction et où la nature et l'étendue de la collecte ne sont pas disproportionnées par rapport à la finalité. La sphère privée et l'intimité du salarié sont à protéger à tout moment. L'enquête incombe à l'autorité compétente. |
|
|
b) La surveillance optique et acoustique ouverte, par des moyens électroniques, des parties de l'entreprise qui ne sont pas accessibles au public et qui servent principalement à l'organisation de la vie privée du salarié, comme les sanitaires, les vestiaires, les salles de repos et les chambres à coucher, n'est pas autorisée. La surveillance cachée n'est en aucun cas autorisée. |
|
|
c) Si des entreprises prélèvent ou traitent des données à caractère personnel dans le cadre d'examens médicaux et/ou de tests d'aptitude, elles doivent indiquer auparavant au candidat ou au salarié à quelles fins ces données sont utilisées et veiller à ce que ces dernières soient ensuite communiquées aux intéressés avec les résultats et qu'elles leur soient expliquées s'ils en font la demande. La collecte des données à des fins de tests et d'analyses génétiques est par principe interdite. |
|
|
d) Il est possible de régler par accord collectif la question de savoir si, et dans quelle mesure, l'utilisation du téléphone, du courrier électronique, de l'internet et des autres services de télécommunications est aussi autorisée à des fins privées. En cas d'impossibilité de régler la question par la négociation collective, l'employeur passe directement un accord avec le salarié. Dans la mesure où une utilisation privée est autorisée, le traitement des données relatives au trafic est notamment autorisé pour garantir la sécurité des données, assurer le bon fonctionnement des réseaux et des services de télécommunications ainsi qu'à des fins de facturation. Par dérogation à la troisième phrase et en ordonnant des délais appropriés pour la suppression des données, les États membres peuvent prévoir par voie législative que le traitement des données soit autorisé dans les cas où des indices réels à consigner justifient la suspicion selon laquelle le salarié a commis un délit ou a gravement manqué à ses obligations dans le cadre de la relation de travail, où la collecte est nécessaire à la détection de l'infraction et où la nature et l'étendue de la collecte ne sont pas disproportionnées par rapport à la finalité. La sphère privée et l'intimité du salarié sont à protéger à tout moment. L'enquête incombe à l'autorité compétente. |
|
|
e) Les données à caractère personnel relatives à des salariés, notamment les données sensibles comme celles portant sur l'orientation politique, l'affiliation et les activités syndicales, ne devraient en aucun cas être utilisées pour inscrire les salariés sur des "listes noires", se renseigner à leur sujet ou leur barrer l'accès à de futurs emplois. Le traitement, l'utilisation dans un contexte d'emploi, l'élaboration et la transmission de listes noires de salariés sont interdits. Les États membres procèdent à des contrôles et adoptent des sanctions appropriées pour garantir une mise en œuvre efficace de ce point. |
Amendement 21 Proposition de règlement Article 82 – paragraphe 1 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 quater. En complément des dispositions du chapitre IV, section 4, le délégué à la protection des données bénéficie d'une protection spécifique contre le licenciement dans l'exercice de ses fonctions et d'une interdiction de discrimination. Les autorités et entreprises doivent en outre veiller à ce que, conformément à l'article 36, paragraphe 2, le délégué à la protection des données puisse accomplir ses missions dans leur intégralité et en toute indépendance, et à ce qu'il ait accès à la formation, étant entendu que les frais y afférents sont à la charge du responsable du traitement et/ou du sous-traitant. Lorsque des entreprises sont établies dans plusieurs États membres, un délégué à la protection des données doit être accessible facilement pour tous les salariés dans chacun de ces États membres. |
|
|
En sus des dispositions du chapitre IV, section 4, l'employeur doit accorder le temps nécessaire au délégué à la protection des données pour qu'il puisse s'acquitter de ses devoirs dans ce domaine, lorsque ceux-ci s'ajoutent à ses tâches générales. Les comités d'entreprise nationaux et européens sont consultés pour la désignation du délégué à la protection des données et disposent du droit permanent de le consulter. |
Amendement 22 Proposition de règlement Article 82 – paragraphe 1 quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 quinquies. Sans préjudice des droits en matière d'information et de cogestion découlant du droit du travail national, les représentants des intérêts du personnel dans l'entreprise et le comité d'entreprise européen se voient attribuer les droits suivants: |
|
|
a) droit de codécision lors de la nomination du délégué à la protection des données (article 35 et suivants), |
|
|
b) droit d'être consultés et informés régulièrement par le délégué à la protection des données de l'établissement, |
|
|
c) droit de représenter les salariés concernés devant un tribunal national ordinaire (article 73) et possibilité de plainte collective (article 75), |
|
|
d) droit de codécision lors de l'élaboration de règles d'entreprise contraignantes (article 43). |
Amendement 23 Proposition de règlement Article 82 – paragraphe 1 sexies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 sexies. Le transfert et le traitement des données à caractère personnel des salariés entre entreprises juridiquement distinctes au sein d'un groupe d'entreprises et avec des professionnels fournissant une assistance juridique et fiscale sont autorisés dans la mesure où ils sont pertinents pour le fonctionnement de l'entreprise et la réalisation d'opérations ou de procédures administratives répondant à une finalité précise et où ils ne s'opposent pas aux intérêts à protéger de la personne concernée. Si le transfert de données des salariés est réalisé vers un pays tiers et/ou une organisation internationale, le chapitre V s'applique. |
Amendement 24 Proposition de règlement Article 82 – paragraphe 1 septies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 septies. L'article 7, paragraphe 4, ne s'applique pas lorsque le traitement des données vise à entraîner des conséquences juridiques ou économiques avantageuses pour le salarié. |
Amendement 25 Proposition de règlement Article 82 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
2. Chaque État membre notifie à la Commission les dispositions juridiques qu'il adopte en vertu des paragraphes 1 et 1 ter, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
Amendement 26 Proposition de règlement Article 82 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
3. La Commission est uniquement habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins de préciser davantage les critères et les exigences pour garantir les normes techniques et de sécurité les plus récentes en ce qui concerne le traitement de données à caractère personnel aux fins prévues aux paragraphes 1 et 1 sexies. Il convient, à cet égard, de tenir compte des coûts et avantages liés à la mise en œuvre, des risques découlant du traitement ainsi que du besoin de protection des données. |
Amendement 27 Proposition de règlement Article 82 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Sur proposition de la Commission, le Parlement européen et le Conseil réexaminent l'article 82 au plus tard deux ans après la date visée à l'article 91, paragraphe 2. Ils décident de cette proposition conformément à la procédure visée à l'article 294 du traité sur le fonctionnement de l'Union européenne. |
PROCÉDURE
|
Titre |
Protection des personnes physiques à l'égard du traitement des données à caractère personnel, et libre circulation de ces données (règlement général sur la protection des données) |
||||
|
Références |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Commission compétente au fond Date de l'annonce en séance |
LIBE 16.2.2012 |
|
|
|
|
|
Avis émis par Date de l'annonce en séance |
EMPL 24.5.2012 |
||||
|
Rapporteur(e) pour avis Date de la nomination |
Nadja Hirsch 20.4.2012 |
||||
|
Examen en commission |
28.11.2012 |
23.1.2013 |
20.2.2013 |
|
|
|
Date de l'adoption |
21.2.2013 |
|
|
|
|
|
Résultat du vote final |
+: –: 0: |
35 3 6 |
|||
|
Membres présents au moment du vote final |
Regina Bastos, Edit Bauer, Heinz K. Becker, Jean-Luc Bennahmias, Phil Bennion, Pervenche Berès, Philippe Boulland, Alejandro Cercas, Ole Christensen, Derek Roland Clark, Minodora Cliveti, Emer Costello, Frédéric Daerden, Sari Essayah, Richard Falbr, Thomas Händel, Marian Harkin, Nadja Hirsch, Stephen Hughes, Danuta Jazłowiecka, Jean Lambert, Patrick Le Hyaric, Verónica Lope Fontagné, Olle Ludvigsson, Thomas Mann, Elisabeth Morin-Chartier, Csaba Őry, Konstantinos Poupakis, Sylvana Rapti, Licia Ronzulli, Elisabeth Schroedter, Nicole Sinclaire, Joanna Katarzyna Skrzydlewska, Jutta Steinruck, Traian Ungureanu, Inês Cristina Zuber |
||||
|
Suppléant(s) présent(s) au moment du vote final |
Georges Bach, Sergio Gutiérrez Prieto, Ria Oomen-Ruijten, Antigoni Papadopoulou, Csaba Sógor |
||||
|
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Alexander Alvaro, Nirj Deva, Pat the Cope Gallagher |
||||
AVIS de la commission de l'industrie, de la recherche et de l'énergie (26.2.2013)
à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Rapporteur pour avis: Seán Kelly
JUSTIFICATION SUCCINCTE
Le 25 janvier 2012, la Commission a présenté une réforme globale de la législation de l'Union européenne en matière de protection des données. La proposition de règlement vise à harmoniser les droits en matière de respect de la vie privée en ligne et à garantir la libre circulation des données au sein de l'Union.
La proposition de règlement entend par ailleurs:
· adapter la protection des données aux nouvelles exigences de l'environnement numérique, sachant que les dispositions en vigueur ont été adoptées il y a 17 ans, lorsque moins de 1 % des Européens utilisaient l'internet;
· éviter les divergences constatées actuellement dans la mise en œuvre des règles de 1995 par les différents États membres et garantir l'application uniforme du droit fondamental à la protection des données à caractère personnel dans tous les domaines d'action de l'Union;
· renforcer la confiance des consommateurs dans les services en ligne grâce une meilleure information sur leurs droits et sur la protection des données avec l'introduction du droit de rectification, du droit à l'oubli numérique et à l'effacement, du droit à la portabilité et du droit d'opposition;
· stimuler le marché unique numérique en réduisant la fragmentation actuelle et les charges administratives, et plus généralement, jouer un rôle important dans le cadre de la stratégie Europe 2020.
Par rapport à la directive 95/46/CE en vigueur, le règlement proposé introduit l'obligation de désigner un délégué à la protection des données pour le secteur public ainsi que, dans le secteur privé, pour les grandes entreprises comptant plus de 250 employés et pour les entreprises dont l'activité principale a trait au traitement de données à caractère personnel.
Des améliorations sont également à noter en ce qui concerne le transfert de données à caractère personnel à des pays tiers ou à des organisations internationales.
La proposition actuelle crée le comité européen de protection des données et prévoit des sanctions pénales et administratives ainsi que des droits à réparation en cas d'infraction au règlement.
Votre rapporteur pour avis adhère globalement aux principaux objectifs de la proposition de la Commission.
Les modifications proposées devraient contribuer à éviter des charges administratives excessives pour les entreprises, notamment pour celles qui ont des procédures internes de responsabilisation en matière de protection des données, et garantir un certain degré de souplesse en ce qui concerne certaines dispositions du règlement, notamment celles relatives au mécanisme de responsabilité et à la notification à l'autorité de contrôle. Certaines définitions et certains aspects du texte original doivent également être clarifiés, mis en contexte et simplifiés.
Votre rapporteur pour avis a privilégié une approche plus qualitative que quantitative de la protection des données, s'articulant autour d'une gestion d'entreprise fondée sur le principe de responsabilité mentionné ci-dessus, plutôt qu'autour d'un recours excessif à des procédures de consentement ou de documentation bureaucratique, qui, certes, ont aussi un rôle à jouer dans la protection des données.
Il importe également de mettre l'accent sur le rôle des solutions techniques telles que la protection dès la conception, la pseudonymisation et l'anonymisation des données, la priorité accordée à la protection des données sensibles et les mesures d'exécution ciblées.
Votre rapporteur pour avis souhaite souligner qu'il importe d'éviter des répercussions indésirables qui risqueraient d'avoir des conséquences négatives dans des domaines tels que la liberté de la presse, la recherche en matière de santé, la lutte contre la criminalité financière, la lutte contre la fraude dans le sport et l'innovation dans la fourniture de réseaux énergétiques intelligents ainsi que de systèmes de transport intelligents.
Un autre aspect de la proposition concerne le nombre élevé d'actes délégués. Votre rapporteur pour avis estime que le recours aux actes délégués est excessif et propose d'en supprimer la majorité.
AMENDEMENTS
La commission de l'industrie, de la recherche et de l'énergie invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de règlement Visa 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
vu la charte des droits fondamentaux de l'Union européenne, et notamment ses articles 7 et 8, |
Amendement 2 Proposition de règlement Visa 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
vu la convention européenne des droits de l'homme, et notamment son article 8, |
Amendement 3 Proposition de règlement Considérant 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(1 bis) La liberté d'expression et d'information est un droit fondamental en vertu de l'article 11 de la charte des droits fondamentaux de l'Union européenne. Ce droit comprend la liberté d'opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence des autorités publiques et sans considération de frontières. La liberté des médias et leur pluralisme devraient être respectés. |
Justification | |
Il convient de faire explicitement référence à la liberté d'information et au droit à la liberté d'expression, qui sont des droits fondamentaux au sein de l'Union européenne, conformément à l'article 11 de la charte des droits fondamentaux de l'Union européenne. | |
Amendement 4 Proposition de règlement Considérant 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(2 bis) La protection de la vie privée des personnes devrait être le principe de base guidant la manière dont les données à caractère personnel sont traitées dans les registres publics. |
Amendement 5 Proposition de règlement Considérant 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(3 bis) Les principes de libre accès à l'information qui caractérisent les États membres au travers de leurs traditions constitutionnelles ne doivent pas être affaiblis, tandis que la liberté d'expression et la liberté de la presse, telles que consacrées dans les constitutions des États membres, doivent être protégées. |
Amendement 6 Proposition de règlement Considérant 5 | |
|
Texte proposé par la Commission |
Amendement |
|
(5) La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu'aux pouvoirs publics d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu'il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l'économie et les rapports sociaux, et elles exigent de faciliter davantage la libre circulation des données au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. |
(5) La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu'aux pouvoirs publics d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu'il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l'économie et les rapports sociaux, et elles exigent des sauvegardes juridiques renforcées qui faciliteront la libre circulation des données au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales en assurant un niveau élevé de protection des données à caractère personnel. |
Justification | |
Le règlement a deux objectifs – protéger les données à caractère personnel et permettre leur libre circulation au sein de l'Union –, mais il convient d'insister davantage sur le premier objectif, car il s'agit d'un droit fondamental. | |
Amendement 7 Proposition de règlement Considérant 5 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(5 bis) Parmi d'autres technologies, l'informatique en nuage a le potentiel de transformer l'économie européenne, à condition de mettre en place des mesures appropriées en matière de sécurité et de protection des données. Afin de garantir le plus haut niveau de sécurité des données à caractère personnel, il est essentiel de comprendre les droits et obligations des responsables du traitement des données et de leurs sous‑traitants établis par le présent règlement. |
Amendement 8 Proposition de règlement Considérant 8 | |
|
Texte proposé par la Commission |
Amendement |
|
(8) Afin d'assurer la cohérence et un degré élevé de protection des personnes, et de lever les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et des libertés des personnes à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. |
(8) Afin d'assurer la cohérence et un degré élevé de protection des personnes, et de lever les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et des libertés des personnes à l'égard du traitement de ces données devrait être équivalent dans tous les États membres, et si possible identique. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union. |
Justification | |
En théorie, les règles en matière de traitement des données sont déjà "équivalentes" dans tous les États membres. Le problème de cette approche réside dans le fait que la proposition à l'examen est un règlement. Ce considérant devrait adéquatement refléter cette logique. | |
Amendement 9 Proposition de règlement Considérant 10 | |
|
Texte proposé par la Commission |
Amendement |
|
(10) L'article 16, paragraphe 2, du traité donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation de ces données. |
(10) L'article 16, paragraphe 2, du traité donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, de même que les règles relatives à la libre circulation de ces données. |
Amendement 10 Proposition de règlement Considérant 11 | |
|
Texte proposé par la Commission |
Amendement |
|
(11) Afin d'obtenir un niveau uniforme de protection des personnes physiques dans toute l'Union, et d'éviter que des divergences n'entravent la libre circulation des données au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, notamment les micro, petites et moyennes entreprises, pour assurer aux personnes de tous les États membres un même niveau de droits opposables, et des obligations et responsabilités égales pour les responsables du traitement des données et les sous-traitants, de même que pour assurer une surveillance cohérente du traitement des données à caractère personnel, des sanctions équivalentes dans tous les États membres et une coopération efficace entre les autorités de contrôle des différents États membres. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte un certain nombre de dérogations. Les institutions et organes de l'Union, les États membres et leurs autorités de contrôle sont, en outre, encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de s'inspirer de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises. |
(11) Afin d'obtenir un niveau uniforme de protection des personnes physiques dans toute l'Union et d'éviter que des divergences n'entravent la libre circulation des données au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, notamment les micro, petites et moyennes entreprises, pour assurer aux personnes de tous les États membres un même niveau de droits opposables et des obligations et responsabilités égales pour les responsables du traitement des données et les sous-traitants, de même que pour assurer une surveillance cohérente du traitement des données à caractère personnel, des sanctions équivalentes dans tous les États membres et une coopération efficace entre les autorités de contrôle des différents États membres. En cas de nécessité évidente et sans faire obstacle à la protection des données à caractère personnel, ni aux principes du marché intérieur afin de tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte un certain nombre de dérogations. Les institutions et organes de l'Union, les États membres et leurs autorités de contrôle sont, en outre, encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre l'application du présent règlement, en concertation avec les parties concernées, et également le principe de la "priorité aux PME", afin que les intérêts des micro, petites et moyennes entreprises soient pris en considération aux tout premiers stades de l'élaboration des politiques. Pour définir la notion de micro, petites et moyennes entreprises, il convient de s'inspirer de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises. |
Amendement 11 Proposition de règlement Considérant 12 | |
|
Texte proposé par la Commission |
Amendement |
|
(12) La protection conférée par le présent règlement concerne les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, dans le cadre du traitement des données à caractère personnel. En ce qui concerne le traitement de données relatives à des personnes morales, et en particulier des entreprises dotées de la personnalité juridique, notamment le nom, la forme juridique et les coordonnées de la personne morale, la protection conférée par le présent règlement ne devrait pas pouvoir être invoquée. Cela devrait être également le cas lorsque le nom de la personne morale contient le nom d'une ou plusieurs personnes physiques. |
(12) La protection conférée par le présent règlement concerne les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, dans le cadre du traitement des données à caractère personnel. En ce qui concerne le traitement de données relatives à des personnes morales, et en particulier des entreprises dotées de la personnalité juridique, notamment le nom, la forme juridique et les coordonnées de la personne morale, la protection conférée par le présent règlement devrait également pouvoir être invoquée. |
Amendement 12 Proposition de règlement Considérant 16 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(16 bis) Le présent règlement ne doit pas être considéré isolément des autres actes juridiques de l'Union. Les limitations de la responsabilité prévues par la directive sur le commerce électronique ont une structure horizontale et s'appliquent dès lors à toutes les informations. Le présent règlement détermine ce qui constitue une violation de la protection des données, tandis que la directive sur le commerce électronique définit les conditions dans lesquelles le fournisseur de services de la société de l'information est responsable des infractions au droit dont se rendent coupables des tiers. |
Justification | |
Il est nécessaire d'expliquer plus en détail dans un considérant les raisons qui justifient la référence faite aux limitations de la responsabilité prévues dans la directive sur le commerce électronique. | |
Amendement 13 Proposition de règlement Considérant 23 | |
|
Texte proposé par la Commission |
Amendement |
|
(23) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable. |
(23) Il y a lieu d'appliquer les principes de protection uniquement aux informations spécifiques concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer: i) uniquement les moyens susceptibles d'être raisonnablement mis en œuvre, par le responsable du traitement ou par une autre personne physique ou morale, pour identifier ladite personne et ii) la probabilité raisonnable qu'une personne soit identifiée. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable à partir de ces dernières, en prenant pleinement en considération les technologies à la pointe du progrès et les tendances technologiques. |
Amendement 14 Proposition de règlement Considérant 23 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(23 bis) Le présent règlement reconnaît que la pseudonymisation bénéficie à toutes les personnes concernées, car les données à caractère personnel sont, par définition, altérées de sorte qu'elles ne peuvent être associées à une personne concernée sans l'utilisation de données supplémentaires. Les responsables du traitement sont de ce fait encouragés à pratiquer la pseudonymisation des données. |
Amendement 15 Proposition de règlement Considérant 24 | |
|
Texte proposé par la Commission |
Amendement |
|
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion ("cookies") par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. |
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion ("cookies") par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés comme des données à caractère personnel dans tous les cas de figure. |
Amendement 16 Proposition de règlement Considérant 25 | |
|
Texte proposé par la Commission |
Amendement |
|
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
(25) Le consentement devrait être donné sans ambiguïté, selon toute modalité appropriée, dans le contexte du produit ou du service proposé, permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
Amendement 17 Proposition de règlement Considérant 25 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(25 bis) Le présent règlement reconnaît que la pseudonymisation des données peut permettre de minimiser les risques pour la vie privée des personnes concernées. Dans la mesure où un responsable du traitement pseudonymise les données, le traitement en question est considéré comme justifié dans l'intérêt légitime du responsable du traitement, en vertu de l'article 6, paragraphe 1, point f). |
Amendement 18 Proposition de règlement Considérant 26 | |
|
Texte proposé par la Commission |
Amendement |
|
(26) Les données à caractère personnel concernant la santé devraient comprendre, en particulier, l'ensemble des données se rapportant à l'état de santé d'une personne concernée; les informations relatives à l'enregistrement du patient pour la prestation de services de santé; les informations relatives aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales; toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient; des informations obtenues lors d'un contrôle ou de l'examen d'un organe ou d'une substance corporelle, y compris des échantillons biologiques; l'identification d'une personne en tant que prestataire de soins de santé au patient; ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostique in vitro. |
(26) Les données à caractère personnel concernant la santé devraient comprendre, en particulier, l'ensemble des données à caractère personnel se rapportant à l'état de santé d'une personne concernée, y compris les informations génétiques; les informations relatives à l'enregistrement du patient pour la prestation de services de santé; les informations relatives aux paiements ou au droit du patient à des soins de santé; un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales; toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient; des données à caractère personnel obtenues lors d'un contrôle ou de l'examen d'un organe, d'une substance corporelle ou d'un échantillon biologique; l'identification d'une personne en tant que prestataire de soins de santé au patient; ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostique in vitro. |
Amendement 19 Proposition de règlement Considérant 27 | |
|
Texte proposé par la Commission |
Amendement |
|
(27) Le principal établissement d'un responsable du traitement ou d'un sous-traitant devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. On entend par "établissement principal du sous‑traitant" le lieu de son administration centrale dans l'Union. |
(27) Lorsque le responsable du traitement ou le sous-traitant a plusieurs établissements au sein de l'Union, y compris, sans s'y limiter, dans les cas où le responsable du traitement ou le sous‑traitant est un groupe d'entreprises, le principal établissement d'un responsable du traitement ou d'un sous-traitant aux fins du présent règlement devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. |
Amendement 20 Proposition de règlement Considérant 28 | |
|
Texte proposé par la Commission |
Amendement |
|
(28) Un groupe d'entreprises devrait consister en une entreprise qui exerce le contrôle et des entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. |
(28) Un groupe d'entreprises devrait consister en une entreprise qui exerce le contrôle et des entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Un groupe d'entreprises peut désigner un établissement principal unique dans l'Union. |
Amendement 21 Proposition de règlement Considérant 29 | |
|
Texte proposé par la Commission |
Amendement |
|
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant. |
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Cette protection est particulièrement importante dans le contexte des réseaux sociaux, où les enfants devraient connaître l'identité de ceux avec qui ils communiquent. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant. Aucune référence à la protection de l'enfance dans le présent règlement ne devrait être interprétée comme une instruction implicite indiquant que la protection des données à caractère personnel des adultes devrait être abordée avec une attention moindre que si la référence n'avait pas été incluse. |
Amendement 22 Proposition de règlement Considérant 30 | |
|
Texte proposé par la Commission |
Amendement |
|
(30) Tout traitement de données à caractère personnel devrait être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données. Les données devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les données collectées ne soient pas excessives et à ce que leur durée de conservation soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique. |
(30) Tout traitement de données à caractère personnel devrait être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données. Les données devraient être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les données collectées ne soient pas excessives et à ce que leur durée de conservation soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique. |
Amendement 23 Proposition de règlement Considérant 31 | |
|
Texte proposé par la Commission |
Amendement |
|
(31) Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. |
(31) Pour être licite, le traitement devrait être basé sur un des fondements légitimes prévus par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. |
Justification | |
Cet amendement encourage un recours approprié au consentement, en le mettant sur un pied d'égalité avec les autres fondements donnant lieu à un traitement licite, visés à l'article 6. | |
Amendement 24 Proposition de règlement Considérant 32 | |
|
Texte proposé par la Commission |
Amendement |
|
(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d'une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. |
(32) Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d'une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. Pour respecter le principe de la minimisation des données, cette charge de la preuve ne devrait être interprétée ni comme exigeant une identification positive des personnes concernées, sauf en cas de nécessité, ni comme entraînant le traitement d'une plus grande quantité de données que dans le cas contraire. |
Amendement 25 Proposition de règlement Considérant 33 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(33 bis) Il se peut que le consentement ne soit pas le moyen principal ou le plus opportun de légitimer le traitement de données à caractère personnel. Il est primordial de recourir au consentement dans le contexte approprié, mais il convient de n'y faire appel en tant que fondement légitime du traitement que lorsque les personnes concernées peuvent utilement et aisément donner et révoquer leur consentement. Lorsqu'il est utilisé dans des contextes inappropriés, le consentement perd sa valeur et constitue une charge inutile pour la personne concernée. Par exemple, le consentement ne constitue pas une justification appropriée lorsque le traitement est nécessaire pour un service que l'utilisateur a demandé ou lorsque les personnes concernées ne peuvent pas refuser leur consentement sans conséquence pour le service sous-jacent. Dans ces contextes ou dans d'autres, les responsables du traitement des données devraient avoir pour objectif de garantir la licéité du traitement en se basant sur un autre fondement légitime. |
Justification | |
Cet amendement aligne le texte sur l'avis 15/2011 du groupe de travail "Article 29", qui porte sur la définition du consentement (p. 10) en précisant plus clairement que le consentement peut ne pas être utile ou peut même nuire à la protection des données lorsqu'il y est fait recours de manière excessive, notamment dans le cadre de services d'information. | |
Amendement 26 Proposition de règlement Considérant 34 | |
|
Texte proposé par la Commission |
Amendement |
|
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
Justification | |
Un consentement au traitement des données dans le cadre d'une relation de travail ne devrait pas être remis en question de manière générale puisqu'il est souvent donné dans des matières où il est précisément dans l'intérêt de l'employé d'autoriser le traitement de ses données à caractère personnel. | |
Amendement 27 Proposition de règlement Considérant 36 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(36 bis) Les tâches réalisées dans l'intérêt public ou dans l'exercice de l'autorité publique comprennent le traitement des données à caractère personnel nécessaire à la gestion et au fonctionnement de ladite autorité. |
Justification | |
Il est nécessaire d'indiquer également ce qui peut être couvert par l'obligation juridique ou les tâches réalisées dans l'intérêt public ou dans l'exercice de l'autorité publique. | |
Amendement 28 Proposition de règlement Considérant 38 | |
|
Texte proposé par la Commission |
Amendement |
|
(38) Les intérêts légitimes du responsable du traitement peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
(38) Les intérêts légitimes du responsable du traitement, ou d'un ou de plusieurs tiers dans l'intérêt desquels les données sont traitées peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Dans un souci de clarté, le comité européen de la protection des données devrait établir des lignes directrices exhaustives sur ce qui peut être défini comme un "intérêt légitime". Le traitement mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, et ce gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
Amendement 29 Proposition de règlement Considérant 40 | |
|
Texte proposé par la Commission |
Amendement |
|
(40) Le traitement des données à caractère personnel à d'autres fins ne devrait être autorisé que s'il est compatible avec les finalités de la collecte initiale des données, notamment lorsque le traitement est nécessaire à des fins statistiques ou de recherche historique ou scientifique. Lorsque cette autre finalité n'est pas compatible avec la finalité initiale de la collecte des données, il convient que le responsable du traitement obtienne le consentement de la personne concernée à cette autre finalité ou qu'il fonde le traitement sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la législation de l'État membre dont relève le responsable des données le prévoit. En tout état de cause, l'application des principes énoncés par le présent règlement et, en particulier, de respecter l'obligation d'informer la personne concernée au sujet de ces autres finalités devrait être assurée. |
(40) Le traitement des données à caractère personnel à d'autres fins ne devrait être autorisé que s'il est compatible avec les finalités de la collecte initiale des données, par exemple lorsque le traitement est nécessaire à des fins statistiques, historiques ou scientifiques. Lorsque cette autre finalité n'est pas compatible avec la finalité initiale de la collecte des données, il convient que le responsable du traitement obtienne le consentement de la personne concernée à cette autre finalité. En tout état de cause, l'application des principes énoncés par le présent règlement et, en particulier, de respecter l'obligation d'informer la personne concernée au sujet de ces autres finalités devrait être assurée. |
Amendement 30 Proposition de règlement Considérant 40 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(40 bis) Il convient d'autoriser le traitement des données dans la mesure strictement nécessaire afin de garantir que les entreprises de gaz ou d'électricité ou les gestionnaires de réseau de distribution, tels que définis dans la directive 2009/72/CE et la directive 2009/73/CE, puissent répondre aux besoins du système, du réseau ou des opérations, ou assurer la mise en œuvre de la réponse à la demande, la gestion de l'énergie ou des programmes d'efficacité énergétique, à condition que l'entreprise d'électricité ou de gaz, ou le gestionnaire du réseau de distribution, ait contractuellement exigé que le responsable du traitement respecte les exigences définies dans le présent règlement. |
Amendement 31 Proposition de règlement Considérant 41 | |
|
Texte proposé par la Commission |
Amendement |
|
(41) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que la personne concernée n'y consente expressément. Toutefois, des dérogations à cette interdiction devraient être expressément prévues pour tenir compte de besoins spécifiques, en particulier lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l'exercice des libertés fondamentales. |
(41) Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que la personne concernée ne donne son consentement en toute connaissance de cause. Toutefois, des dérogations à cette interdiction devraient être expressément prévues pour tenir compte de besoins spécifiques, en particulier lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l'exercice des libertés fondamentales des personnes concernées dont il est question. |
Amendement 32 Proposition de règlement Considérant 45 | |
|
Texte proposé par la Commission |
Amendement |
|
(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. |
(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. Le responsable du traitement des données ne devrait pas invoquer un éventuel manque d'informations pour rejeter une demande d'accès lorsque ces informations peuvent être fournies par la personne concernée pour permettre ledit accès. |
Amendement 33 Proposition de règlement Considérant 48 | |
|
Texte proposé par la Commission |
Amendement |
|
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées et des critères permettant de déterminer cette dernière, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
Amendement 34 Proposition de règlement Considérant 49 | |
|
Texte proposé par la Commission |
Amendement |
|
(49) L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre destinataire, il convient que la personne concernée soit informée lorsque ces données sont divulguées pour la première fois audit destinataire. |
(49) L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre destinataire sans solliciter le consentement ou le renouvellement du consentement de la personne concernée, il convient que celle-ci soit informée lorsque ces données sont divulguées pour la première fois audit destinataire, si elle a en fait la demande. |
Justification | |
Si des données sont légitimement divulguées à un autre destinataire, une procédure constante et répétitive d'information de la personne concernée ne devrait pas être nécessaire. Une telle procédure pourrait avoir des conséquences indésirables, telles que la révocation par les personnes concernées de leur consentement à un traitement légitime ou, pire, la désensibilisation des personnes concernées aux informations concernant le statut de leurs données à caractère personnel. | |
Amendement 35 Proposition de règlement Considérant 51 | |
|
Texte proposé par la Commission |
Amendement |
|
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
(51) Toute personne devrait avoir le droit d'accéder aux données à caractère personnel qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données à caractère personnel, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données à caractère personnel et les conséquences qu'il pourrait avoir. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, concernant par exemple le droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
Amendement 36 Proposition de règlement Considérant 52 | |
|
Texte proposé par la Commission |
Amendement |
|
(52) Le responsable du traitement devrait prendre toutes les mesures raisonnables afin de s'assurer de l'identité d'une personne concernée demandant l'accès aux données, en particulier dans le contexte des services et identifiants en ligne. Un responsable des données ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes. |
(52) Le responsable du traitement devrait prendre toutes les mesures raisonnables dans le contexte du produit ou service fourni, ou dans le contexte de la relation entre le responsable du traitement et la personne concernée, ainsi que du caractère sensible des données à caractère personnel traitées, afin de contrôler l'authenticité de la demande d'accès d'une personne concernée, en particulier dans le contexte des services et identifiants en ligne. Un responsable des données ne devrait pas conserver ou être contraint à collecter des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes. |
Amendement 37 Proposition de règlement Considérant 53 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(53 bis) Une personne concernée devrait toujours avoir la possibilité de donner un consentement général pour que ses données soient utilisées à des fins de recherche historique, statistique ou scientifique et de révoquer ce consentement à tout moment. |
Justification | |
Broad consent is a necessity for conducting research in fields of medicine that rely on biobanks and tissue banks among other forms. Biobanks are collections of biological samples and data, accumulated over a period of time, used for medical research and diagnostic purposes. These repositories store data from millions of data subjects, which is used by scientists to perform research. The option of broad consent given to a data subject at their first encounter with a doctor allows the researchers to use this data without having to go back to the data subject for every minor research they are conducting and is thus a necessary and practical solution for protecting and fostering public health research. | |
Amendement 38 Proposition de règlement Considérant 58 | |
|
Texte proposé par la Commission |
Amendement |
|
(58) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur le profilage par traitement automatisé. Toutefois, de telles mesures devraient être permises lorsqu'elles sont expressément autorisées par la loi, appliquées dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention humaine, et cette mesure ne devrait pas concerner les enfants. |
(58) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur le profilage par traitement automatisé produisant des effets juridiques à son égard ou l'affectant de manière significative. Les effets réels devraient être comparables aux effets juridiques au regard de leur intensité pour relever du champ d'application du présent règlement. Ce n'est pas le cas des mesures liées à la communication commerciale, par exemple dans le domaine de la gestion des relations avec la clientèle ou de l'acquisition de clientèle. Toutefois, les mesures fondées sur le profilage par traitement automatisé produisant des effets juridiques à l'égard d'une personne concernée ou l'affectant de manière significative devraient être permises lorsqu'elles sont expressément autorisées par la loi, appliquées dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention humaine, et cette mesure ne devrait pas concerner les enfants. |
Justification | |
Cet amendement précise que la communication commerciale, par exemple dans le domaine de la gestion des relations avec la clientèle ou de l'acquisition de clientèle, n'affecte pas de manière significative une personne physique au sens de l'article 20, paragraphe 1. Les effets réels doivent être comparables aux effets juridiques au regard de leur intensité pour relever de la présente disposition. | |
Amendement 39 Proposition de règlement Considérant 60 | |
|
Texte proposé par la Commission |
Amendement |
|
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. |
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui‑même ou qui est réalisé pour son compte, afin de garantir la responsabilité. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. Le traitement inutile de données ne peut se justifier par le besoin de respecter cette obligation. |
Amendement 40 Proposition de règlement Considérant 61 | |
|
Texte proposé par la Commission |
Amendement |
|
(61) La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut. |
(61) Pour satisfaire aux attentes des consommateurs et des entreprises en matière de protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel, il y a lieu de prendre les mesures organisationnelles appropriées, tant au moment de la conception du traitement et des technologies qui le sous‑tendent que de son exécution, de sorte que les exigences du présent règlement soient respectées. Il convient d'encourager les mesures qui ont pour objectif d'augmenter les informations fournies au consommateur et de faciliter le choix, avec la coopération du secteur et en favorisant les solutions, produits et services innovants. La protection des données dès la conception est le processus par lequel la protection des données et de la vie privée est intégrée dans le développement de produits et de services par des mesures techniques et organisationnelles. La protection des données par défaut signifie que les produits et les services sont configurés par défaut de sorte qu'ils limitent le traitement et plus particulièrement la divulgation de données à caractère personnel. Il convient notamment que les données à caractère personnel ne soient pas divulguées par défaut à un nombre illimité de personnes. |
Amendement 41 Proposition de règlement Considérant 61 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(61 bis) Le présent règlement devrait encourager les entreprises à élaborer des programmes internes visant à recenser les opérations de traitement susceptibles de présenter des risques pour les droits et les libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, à mettre en place des garanties appropriées en matière de protection des données ainsi qu'à développer des solutions innovantes de protection des données dès la conception et des techniques renforçant cette protection. Les entreprises démontreraient ainsi publiquement et de manière volontariste leur respect de la lettre et de l'esprit du présent règlement, ce qui augmenterait la confiance des citoyens européens. La responsabilité des entreprises en matière de protection des données à caractère personnel ne peut toutefois pas exempter une entreprise de toute obligation établie par le présent règlement. |
Amendement 42 Proposition de règlement Considérant 62 | |
|
Texte proposé par la Commission |
Amendement |
|
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. |
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. |
Amendement 43 Proposition de règlement Considérant 65 | |
|
Texte proposé par la Commission |
Amendement |
|
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous‑traitant devrait consigner chaque opération de traitement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question. |
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement devrait consigner chaque opération de traitement dont il est responsable. Chaque responsable du traitement devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question. |
Amendement 44 Proposition de règlement Considérant 66 | |
|
Texte proposé par la Commission |
Amendement |
|
(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l'adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, la Commission devrait promouvoir la neutralité technologique, l'interopérabilité et l'innovation, et au besoin, coopérer avec les pays tiers. |
(66) Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Plus particulièrement, le responsable du traitement ou le sous‑traitant devrait prendre dûment en considération les risques plus élevés découlant du traitement des données à caractère personnel de la personne concernée en fonction de la sensibilité des données. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, de l'état de la technique et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l'adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, il convient de promouvoir la neutralité technologique, l'interopérabilité et l'innovation, et au besoin, d'encourager la coopération avec les pays tiers. |
Amendement 45 Proposition de règlement Considérant 67 | |
|
Texte proposé par la Commission |
Amendement |
|
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié. S'il ne peut pas le faire dans un délai raisonnable, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
Amendement 46 Proposition de règlement Considérant 70 | |
|
Texte proposé par la Commission |
Amendement |
|
(70) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or cette obligation génère une charge administrative et financière, sans pour autant avoir véritablement amélioré la protection des données. En conséquence, l'obligation générale de notification devrait être supprimée et remplacée par des procédures et des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leur finalité. Dans de tels cas, une analyse d'impact relative à la protection des données devrait être réalisée par le responsable du traitement ou le sous‑traitant, préalablement au traitement, et devrait examiner notamment les dispositions, garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et pour démontrer que le présent règlement est respecté. |
(70) La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or cette obligation génère une charge administrative et financière, sans pour autant avoir véritablement amélioré la protection des données. En conséquence, l'obligation générale de notification devrait être supprimée et remplacée par des procédures et des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leur finalité. Dans de tels cas, une analyse d'impact relative à la protection des données devrait être réalisée par le responsable du traitement, préalablement au traitement, et devrait examiner notamment les dispositions, garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et pour démontrer que le présent règlement est respecté. |
Justification | |
Il devrait incomber aux responsables du traitement d'évaluer l'incidence sur la vie privée quand ils déterminent les finalités du traitement. | |
Amendement 47 Proposition de règlement Considérant 70 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(70 bis) La directive 2002/58/CE établit des obligations en matière de notification des infractions relatives aux données à caractère personnel dans le cadre du traitement des données à caractère personnel lié à la fourniture de services de communication électronique accessibles au public dans les réseaux de communication publics de l'Union. Lorsque des prestataires de services de communication électronique accessibles au public fournissent également d'autres services, ils restent soumis aux exigences de la directive 2002/58/CE, et non pas du présent règlement en matière de notification des violations. Ces prestataires devraient être soumis à un régime unique de notification des violations des données à caractère personnel, que ce soit pour les données à caractère personnel traitées dans le cadre de la fourniture d'un service de communication accessible au public ou pour toutes autres données à caractère personnel pour lesquelles ils sont responsables du traitement. |
Justification | |
Les prestataires de services de communication électronique devraient être soumis à un régime unique de notification pour toute violation concernant les données à caractère personnel qu'ils traitent, et non pas à divers régimes en fonction du service proposé. Cette disposition garantit des conditions égales de concurrence pour les acteurs du secteur. | |
Amendement 48 Proposition de règlement Considérant 76 | |
|
Texte proposé par la Commission |
Amendement |
|
(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. |
(76) Il y a lieu d'encourager les associations et autres instances représentatives des responsables du traitement de données à élaborer des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. De tels codes devraient simplifier le respect du présent règlement par les entreprises. |
Justification | |
Il convient d'indiquer clairement que de tels codes de conduite bénéficient aux entreprises et ne constituent pas un geste impliquant une moindre surveillance de la part des autorités chargées de la protection des données. | |
Amendement 49 Proposition de règlement Considérant 77 | |
|
Texte proposé par la Commission |
Amendement |
|
(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de marques et de labels en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question. |
(77) Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de marques et de labels en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement, de manière fiable et vérifiable, le niveau de protection des données offert par les produits et services en question. |
Justification | |
Ces outils doivent être rigoureusement testés, en tirant les enseignements des réussites et des échecs de cette approche. | |
Amendement 50 Proposition de règlement Considérant 80 | |
|
Texte proposé par la Commission |
Amendement |
|
(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union au sujet des pays tiers ou des organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. |
(80) La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union au sujet des pays tiers ou des organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers et lui avoir fourni une justification complète, de révoquer une telle décision. |
Justification | |
Il serait illogique d'imaginer que la situation de la protection des données dans un pays tiers ne puisse pas se détériorer ultérieurement. | |
Amendement 51 Proposition de règlement Considérant 84 | |
|
Texte proposé par la Commission |
Amendement |
|
(84) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d'autres clauses, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. |
(84) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d'autres clauses, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Dans certains cas de figure, il conviendrait d'encourager les responsables du traitement et les sous‑traitants à fournir des protections encore plus solides par l'intermédiaire d'engagements contractuels supplémentaires qui viendraient compléter les clauses types relatives à la protection des données. |
Justification | |
Cet amendement inciterait les organisations à aller au-delà des exigences réglementaires de base pour se conformer à des régimes tels qu'une "marque de protection des données" ou un "label de confiance". | |
Amendement 52 Proposition de règlement Considérant 85 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(85 bis) Un groupe d'entreprises qui envisage de soumettre pour approbation des règles d'entreprise contraignantes peut proposer une autorité de contrôle en tant que chef de file. Celle-ci devrait être l'autorité de contrôle de l'État membre dans lequel se situe l'établissement principal du responsable du traitement ou du sous-traitant. |
Justification | |
Le groupe de travail "Article 29" a défini un système de reconnaissance mutuelle des règles d'entreprise contraignantes (WP 107 du 14 avril 2005). Il convient de l'inclure dans le présent règlement. Le critère de désignation de l'autorité compétente devrait être le lieu d'implantation de l'établissement principal, comme le prévoit l'article 51, paragraphe 2, du règlement. | |
Amendement 53 Proposition de règlement Considérant 87 | |
|
Texte proposé par la Commission |
Amendement |
|
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière. |
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, entre organes chargés de la lutte contre la fraude dans le sport, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière. Le transfert de données à caractère personnel pour des motifs d'intérêt public aussi importants ne devrait être utilisé que de manière occasionnelle. Dans chaque cas particulier, une analyse minutieuse de toutes les circonstances du transfert doit être effectuée. |
Amendement 54 Proposition de règlement Considérant 94 | |
|
Texte proposé par la Commission |
Amendement |
|
(94) Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains, les locaux et les infrastructures nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. |
(94) Il conviendrait que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains, en accordant une attention particulière à l'adéquation des compétences techniques du personnel, aux locaux et aux infrastructures nécessaires à la bonne exécution de ses tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. |
Justification | |
Strong, independent supervisory authorities are one of the necessary conditions for effective data protection. They should be free from external influence, as confirmed by the ECJ (C-518/07 and C-614/10), and should have the necessary resources – financial and human – to ensure enforcement of data protection legislation. These changes aim to provide supervisory authorities with the independence and resources they need to effectively protect the fundamental right to data protection. Supervisory authorities are needed to ensure enforcement of data protection legislation. As Article 16(2) TFEU states, they shall be independent in the exercise of their duties. Experience with the current framework has shown that this level of independence is not always provided in practice. It should be noted that this should not only be seen as referring to interference by Member States, but also by the Commission. Independence on paper alone is not enough, supervisory authorities also need the means to put their powers into action. This implies a need for appropriate resources and skilled staff, including staff with technical expertise. The increasing technical challenges facing supervisory authority staff must be recognised and addressed. | |
Amendement 55 Proposition de règlement Considérant 95 | |
|
Texte proposé par la Commission |
Amendement |
|
(95) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, et comprendre des dispositions régissant la qualification et la fonction de ces membres. |
(95) Les conditions générales applicables aux membres de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, en prenant bien soin de réduire au minimum toute possibilité d'ingérence politique, et comprendre des dispositions régissant la qualification et la fonction de ces membres, ainsi que la prévention des conflits d'intérêts. |
Justification | |
Strong, independent supervisory authorities are one of the necessary conditions for effective data protection. They should be free from external influence, as confirmed by the ECJ (C-518/07 and C-614/10), and should have the necessary resources – financial and human – to ensure enforcement of data protection legislation. These changes aim to provide supervisory authorities with the independence and resources they need to effectively protect the fundamental right to data protection. Supervisory authorities are needed to ensure enforcement of data protection legislation. As Article 16(2) TFEU states, they shall be independent in the exercise of their duties. Experience with the current framework has shown that this level of independence is not always provided in practice. It should be noted that this should not only be seen as referring to interference by Member States, but also by the Commission. Independence on paper alone is not enough, supervisory authorities also need the means to put their powers into action. This implies a need for appropriate resources and skilled staff, including staff with technical expertise. | |
Amendement 56 Proposition de règlement Considérant 97 | |
|
Texte proposé par la Commission |
Amendement |
|
(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants. |
(97) Lorsque le traitement de données à caractère personnel a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants. |
Justification | |
Le principe du guichet unique devrait être appliqué de manière cohérente aussi bien aux responsables du traitement établis dans l'Union qu'à ceux qui ne le sont pas et qui sont soumis à la loi. | |
Amendement 57 Proposition de règlement Considérant 98 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(98 bis) Lorsque le traitement de données à caractère personnel fait l'objet d'une plainte déposée par une personne concernée, l'autorité compétente qui sert de guichet unique devrait être l'autorité de contrôle de l'État membre dans lequel la personne concernée possède sa résidence principale. Lorsque des personnes concernées déposent des plaintes similaires contre un tel traitement auprès des autorités de contrôle dans des États membres différents, l'autorité compétente devrait être la première saisie. |
Justification | |
Il convient de permettre à la personne concernée de mener ses démarches administratives auprès de l'autorité de contrôle la plus proche de sa résidence principale, et dans le même État membre où elle peut effectuer des poursuites juridiques si nécessaire, afin d'améliorer l'accessibilité et la cohérence du recours de la personne concernée et également d'éviter des lourdeurs administratives. | |
Amendement 58 Proposition de règlement Considérant 105 | |
|
Texte proposé par la Commission |
Amendement |
|
(105) Afin de garantir l'application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. |
(105) Afin de garantir l'application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsque l'autorité de contrôle compétente a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. |
Amendement 59 Proposition de règlement Considérant 121 | |
|
Texte proposé par la Commission |
Amendement |
|
(121) Le traitement de données à caractère personnel à des fins uniquement journalistiques ou aux fins d'expression artistique ou littéraire devrait pouvoir bénéficier d'une dérogation à certaines dispositions du présent règlement, pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l'article 11 de la charte des droits fondamentaux de l'Union européenne. Ceci devrait notamment s'appliquer aux traitements de données à caractère personnel dans le domaine de l'audiovisuel et dans les documents d'archives et bibliothèques de journaux. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable des données et le sous‑traitant, le transfert des donnés vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, et la coopération et la cohérence. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins des exemptions et dérogations à établir en vertu du présent règlement, les États membres devraient qualifier de «journalistiques» les activités ayant pour objet de communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas. |
(121) Le traitement de données à caractère personnel à des fins journalistiques ou aux fins d'expression artistique ou littéraire devrait pouvoir bénéficier d'une dérogation à certaines dispositions du présent règlement, pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l'article 11 de la charte des droits fondamentaux de l'Union européenne. Ceci devrait notamment s'appliquer aux traitements de données à caractère personnel dans le domaine de l'audiovisuel et dans les documents d'archives et bibliothèques de journaux. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, comme le journalisme, quel que soit le vecteur utilisé pour les transmettre. |
Amendement 60 Proposition de règlement Considérant 121 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(121 bis) Le présent règlement permet de prendre en compte, dans l'application de ses dispositions, le principe de l'accès du public aux documents officiels. Une autorité publique ou un organisme public peuvent divulguer les données à caractère personnel présentes dans les documents en leur possession conformément à la législation de l'État membre à laquelle ils sont soumis. Cette législation devrait concilier le droit à la protection des données à caractère personnel et le principe de l'accès du public aux documents officiels. |
Justification | |
Il est essentiel de veiller à ce que le contrôle des affaires publiques par le public ne soit pas indûment entravé par les règles relatives à la protection des données. Comme indiqué dans des avis du CEPD, du groupe de travail "Article 29" et de l'Agence des droits fondamentaux de l'Union européenne (FRA), le principe de l'accès du public aux documents officiels devrait dès lors être garanti. | |
Amendement 61 Proposition de règlement Considérant 123 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(123 bis) Le traitement de données à caractère personnel concernant la santé, en tant que catégorie particulière de données, peut être nécessaire à des fins de recherche historique, statistique ou scientifique. Le présent règlement devrait donc veiller à ce que l'harmonisation des conditions prévues pour le traitement des données à caractère personnel dans le domaine de la santé, sous réserve de garanties spécifiques et appropriées en vue de protéger les droits fondamentaux et les données à caractère personnel des personnes physiques, ne fasse pas obstacle aux activités de recherche de transfert, de recherche clinique et de recherche en matière de santé publique. |
Justification | |
Ensuring seamless access to medical data is crucial for public health research. This Regulation makes it essential to find a balance between protecting individual data and respecting public health researchers enough to provide them with the means to conduct medical research. One of the aims of this Regulation is to harmonize data protection across different sectors. It is thus important to note that any harmonization of data protection across countries or sectors must protect public health research sector and not constitute a barrier to crucial research addressing the great societal challenges. | |
Amendement 62 Proposition de règlement Considérant 129 | |
|
Texte proposé par la Commission |
Amendement |
|
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les transferts encadrés par des règles d'entreprise contraignantes les dérogations relatives aux transferts; les sanctions administratives; les traitements à des fins médicales; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission, dans certains cas précis. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
Amendement 63 Proposition de règlement Considérant 130 | |
|
Texte proposé par la Commission |
Amendement |
|
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission45. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission. Lors de la mise en œuvre des dispositions du présent règlement, il convient de veiller à ce qu'aucune exigence relative à des caractéristiques techniques spécifiques ne soit imposée aux produits et services, notamment aux terminaux ou à d'autres équipements de communications électroniques, si elle risque d'entraver la mise sur le marché d'équipements et la libre circulation de ces équipements dans les États membres et entre ces derniers. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises, en concertation avec les parties concernées, car ces mesures ne devraient pas entraîner une charge excessive pour ces entreprises. |
Amendement 64 Proposition de règlement Considérant 139 | |
|
Texte proposé par la Commission |
Amendement |
|
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n'apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l'Union européenne, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique, |
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n'apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et aux progrès réels et potentiels dans les domaines scientifique, sanitaire et technologique, et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l'Union européenne, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à la propriété, et notamment la protection de la propriété intellectuelle, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique. |
Justification | |
Le traitement des adresses IP représente souvent un élément essentiel des enquêtes sur les violations des DPI au titre de la directive 2004/48/CE et ne devrait pas être empêché par le règlement. | |
Amendement 65 Proposition de règlement Article 1 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. |
1. Le présent règlement établit des règles relatives à la protection des personnes physiques et morales à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. |
Amendement 66 Proposition de règlement Article 1 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel. |
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques et morales, et en particulier leur droit à la protection des données à caractère personnel. |
Amendement 67 Proposition de règlement Article 1 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. |
3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques et morales à l'égard du traitement des données à caractère personnel. |
Amendement 68 Proposition de règlement Article 1 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Le présent règlement ne modifie ni ne limite la liberté de la presse et d'expression inscrite dans les constitutions des États membres, laquelle émane de la tradition de liberté de la presse et d'expression caractérisant les sociétés libres et ouvertes. Par ailleurs, le droit et l'accès des citoyens aux informations des autorités publiques ne sont ni modifiés ni restreints. Le présent règlement ne modifie pas non plus le droit et la responsabilité des États membres concernant la protection de l'intégrité des personnes dans le domaine de l'utilisation de registres publics par l'intermédiaire d'une législation spécifique. |
Amendement 69 Proposition de règlement Article 2 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. |
1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, sans discrimination entre ces différents moyens de traitement et la technologie utilisée, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. |
Amendement 70 Proposition de règlement Article 2 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) par les institutions, organes et organismes de l'Union; |
supprimé |
Amendement 71 Proposition de règlement Article 2 – paragraphe 2 – point e bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e bis) à des fins de recherche historique, statistique et scientifique; |
Amendement 72 Proposition de règlement Article 2 – paragraphe 2 – point e ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e ter) dans le cadre d'une activité pouvant être associée à une activité professionnelle ou commerciale d'une personne concernée; |
Amendement 73 Proposition de règlement Article 2 – paragraphe 2 – point e quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e quater) effectué par un employeur dans le cadre du traitement des données à caractère personnel des employés dans un contexte professionnel; |
Justification | |
Il importe qu'un employeur puisse continuer à traiter des données relatives à ses employés – par exemple en ce qui concerne le salaire, les congés, les avantages, l'anniversaire, la formation, la santé, les condamnations, etc. À l'heure actuelle, les employés peuvent consentir à ce que leur employeur traite ces données. Toutefois, la formulation utilisée dans le règlement pourrait être interprétée comme introduisant à l'avenir un déséquilibre entre employeur et employé. | |
Amendement 74 Proposition de règlement Article 2 – paragraphe 2 – point e quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e quinquies) dans le cas de données anonymes au sens de l'article 4, point 2 quater). |
Amendement 75 Proposition de règlement Article 3 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: |
2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur domicile sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: |
Justification | |
Clarification de la notion de "résidence". | |
Amendement 76 Proposition de règlement Article 4 – point 1 | |
|
Texte proposé par la Commission |
Amendement |
|
(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale collaborant avec le responsable du traitement des données, notamment par référence à un numéro d'identification ou un autre identifiant unique, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité sexuelles, à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, ou à son orientation sexuelle, et qui n'agit pas dans le cadre de son activité professionnelle; |
Amendement 77 Proposition de règlement Article 4 – point 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(2 bis) "données pseudonymes": toutes données à caractère personnel qui ont été collectées, modifiées ou traitées de toute autre manière de sorte que, considérées isolément, elles ne puissent être attribuées à une personne concernée sans qu'il soit fait recours à des données complémentaires, lesquelles sont soumises à des contrôles techniques et organisationnels séparés et distincts visant à garantir cette non-attribution; |
Amendement 78 Proposition de règlement Article 4 – point 2 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(2 ter) "numéro d'identification": tout code numérique, alphanumérique ou similaire, typiquement utilisé dans l'espace numérique, à l'exclusion des codes assignés par une autorité publique ou contrôlée par l'État afin d'identifier une personne physique en tant qu'individu; |
Amendement 79 Proposition de règlement Article 4 – point 2 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(2 quater) "données anonymes": toutes les données à caractère personnel ayant été recueillies, modifiées ou traitées de manière qu'il ne soit plus possible de les attribuer à une personne concernée; les données anonymes ne sont pas considérées comme des données à caractère personnel; |
Amendement 80 Proposition de règlement Article 4 – point 5 | |
|
Texte proposé par la Commission |
Amendement |
|
(5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
(5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités du traitement de données à caractère personnel; lorsque les finalités du traitement sont déterminées par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
Amendement 81 Proposition de règlement Article 4 – point 6 | |
|
Texte proposé par la Commission |
Amendement |
|
(6) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; |
(6) "sous-traitant": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement; le sous-traitant est en mesure d'accéder aux données à caractère personnel d'une manière techniquement faisable, sans effort disproportionné, et est raisonnablement susceptible de prendre connaissance de leur contenu; |
Justification | |
Cet amendement correspond à l'amendement au considérant 24 bis (nouveau). | |
Amendement 82 Proposition de règlement Article 4 – point 8 | |
|
Texte proposé par la Commission |
Amendement |
|
(8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement; |
(8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et sans équivoque par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. Le silence ou l'inaction n'équivalent pas en soi à un consentement; |
Amendement 83 Proposition de règlement Article 4 – point 9 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(9 bis) "catégories particulières de données à caractère personnel": toute information qui révèle l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale ainsi que des données génétiques, des données concernant la santé ou relatives à la vie sexuelle, et des données relatives à des condamnations pénales ou encore à des mesures de sûreté connexes; |
Justification | |
Le traitement des "catégories particulières de données à caractère personnel" est déjà soumis à des exigences spécifiques (voir article 9). Ce groupe de données sensibles devrait, pour des motifs liés à la proportionnalité, également être pris en compte lors de la définition d'autres obligations imposées au responsable du traitement (voir amendement à l'article 31). L'ajout de cette définition apporte davantage de sécurité juridique. | |
Amendement 84 Proposition de règlement Article 4 – point 10 | |
|
Texte proposé par la Commission |
Amendement |
|
(10) "données génétiques": toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal; |
(10) "données génétiques": toutes les informations concernant les caractéristiques héréditaires, ou leur modification, d'une personne identifiée ou identifiable, obtenues par une analyse de l'acide nucléique; |
Justification | |
Il convient que la définition proposée corresponde aux définitions employées dans d'autres textes, comme la définition de "données génétiques humaines" utilisée dans la Déclaration internationale des Nations unies sur les données génétiques humaines. | |
Amendement 85 Proposition de règlement Article 4 – point 12 | |
|
Texte proposé par la Commission |
Amendement |
|
(12) "données concernant la santé": toute information relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne; |
(12) "données concernant la santé": toutes données à caractère personnel relatives à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne; |
Amendement 86 Proposition de règlement Article 4 – point 13 | |
|
Texte proposé par la Commission |
Amendement |
|
(13)"établissement principal": en ce qui concerne le responsable du traitement, le lieu de son établissement dans l'Union où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; si aucune décision de ce type n'est prise dans l'Union, l'établissement principal est le lieu où sont exercées les principales activités de traitement dans le cadre des activités d'un établissement d'un responsable du traitement dans l'Union; en ce qui concerne le sous-traitant, on entend par "établissement principal" le lieu de son administration centrale dans l'Union; |
(13) "établissement principal": le lieu tel que défini par le responsable du traitement des données ou le sous-traitant sur la base des critères transparents et objectifs suivants: le lieu d'implantation du siège européen du groupe, le lieu d'implantation de l'entreprise au sein du groupe à qui sont déléguées les responsabilités relatives à la protection des données, le lieu d'implantation de l'entreprise qui est la mieux placée (en termes de fonctions de gestion, de capacité administrative, etc.) pour répondre aux règles définies par le présent règlement et les appliquer, ou le lieu où les décisions principales relatives au traitement sont prises pour le groupe régional; |
Justification | |
Cet amendement vise à refléter avec clarté la situation réelle des entreprises qui exercent leurs activités dans différentes juridictions. Il ne doit pas être interprété comme une disposition permettant la recherche de la loi nationale la plus permissive ("forum shopping"), dans la mesure où l'entreprise doit fournir des critères transparents et objectifs pour justifier le lieu d'implantation de son établissement principal aux fins du règlement à l'examen. | |
Amendement 87 Proposition de règlement Article 4 – point 13 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(13 bis) "autorité de contrôle compétente": l'autorité de contrôle qui est la seule compétente pour le contrôle d'un responsable du traitement, conformément à l'article 51, paragraphes 2, 3 et 4; |
Amendement 88 Proposition de règlement Article 4 – point 14 | |
|
Texte proposé par la Commission |
Amendement |
|
(14) "représentant": toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit en lieu et place de ce dernier et peut être contactée à sa place par les autorités de contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement; |
(14) "représentant": toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit et doit être contactée à sa place par l'autorité de contrôle compétente, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement; |
Amendement 89 Proposition de règlement Article 4 – point 19 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(19 bis) "crime financier": toute infraction pénale liée à la criminalité organisée, au racket, au terrorisme, au financement du terrorisme, à la traite des êtres humains, au trafic de migrants, à l'exploitation sexuelle, au trafic de narcotiques, de drogues et de substances psychotropes, au trafic d'armes illégal, au trafic de marchandises volées, à la corruption passive et active, à la fraude, à la contrefaçon de monnaie, à la contrefaçon et au piratage de produits, aux infractions environnementales, au kidnapping, à la séquestration illégale et à la prise d'otages, au cambriolage, au vol, au trafic, aux infractions liées à la fiscalité, à l'extorsion, à la falsification, au piratage, au délit d'initié et à la manipulation de marché. |
Justification | |
Il est nécessaire d'ajouter une définition de la "criminalité financière", inspirée des recommandations du groupe d'action financière, étant donné que le traitement des données à caractère personnel sera autorisé en vue de prévenir ou de détecter la criminalité financière, ou d'enquêter dans ce domaine. | |
Amendement 90 Proposition de règlement Article 5 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités; |
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière inconciliable avec ces finalités; |
Amendement 91 Proposition de règlement Article 5 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
c) adéquates, pertinentes, proportionnées et non excessives au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si et pour autant que les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
Amendement 92 Proposition de règlement Article 5 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai; |
d) exactes et, le cas échéant, tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans retard injustifié; |
Amendement 93 Proposition de règlement Article 5 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins historiques, statistiques ou scientifiques conformément aux règles et aux conditions énoncées à l'article 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
Amendement 94 Proposition de règlement Article 5 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité de chaque opération de traitement avec les dispositions du présent règlement et en apporte la preuve . |
f) traitées sous la responsabilité du responsable du traitement, qui veille à la conformité du traitement qu'il effectue avec les dispositions du présent règlement et, s'il lui en est fait la demande, en apporte la preuve à l'autorité de contrôle compétente au titre de l'article 51, paragraphe 2. |
Amendement 95 Proposition de règlement Article 6 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; |
a) la personne concernée a consenti au traitement de ses données à caractère personnel; |
Amendement 96 Proposition de règlement Article 6 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; |
b) le traitement est nécessaire à l'exécution d'un contrat ou de conventions collectives et de conventions au niveau de l'entreprise auxquels la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci; |
Justification | |
Les conventions collectives sont équivalentes à des contrats soumis au droit national en Allemagne et peuvent donc également constituer le fondement d'un traitement des données licite. | |
Amendement 97 Proposition de règlement Article 6 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; |
c) le traitement est nécessaire au respect d'une obligation légale, d'une disposition réglementaire, d'une ligne directrice ou d'un code de bonnes pratiques du secteur, au niveau national ou international, auxquels le responsable du traitement est soumis, y compris les exigences des autorités de contrôle; |
Justification | |
Cette disposition devrait garantir que toute réglementation financière ou code de conduite national soit inclus. | |
Amendement 98 Proposition de règlement Article 6 – paragraphe 1 – point d bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d bis) le traitement est nécessaire pour garantir la sécurité du réseau et des informations; |
Justification | |
Cet amendement intègre dans le texte les garanties établies au considérant 39 en clarifiant dans un article juridiquement contraignant que le traitement des données aux fins de la sécurité du réseau et des informations est considéré comme un traitement licite. | |
Amendement 99 Proposition de règlement Article 6 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; |
e) le traitement est nécessaire à l'exécution d'une mission relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ou effectué dans l'intérêt général; |
Amendement 100 Proposition de règlement Article 6 – paragraphe 1 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement ou un sous‑traitant ou en leur nom, par le tiers ou les tiers dans l'intérêt desquels les données sont traitées, y compris pour la sécurité du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. L'intérêt ou les droits et libertés fondamentaux de la personne concernée ne prévalent pas sur le traitement effectué par les autorités publiques dans l'exécution de leurs missions ou par des entreprises dans l'exercice de leurs obligations légales et afin de lutter contre les comportements frauduleux; |
Amendement 101 Proposition de règlement Article 6 – paragraphe 1 – point f bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f bis) le traitement se limite aux données pseudonymisées, la personne concernée est suffisamment protégée et le destinataire du service a le droit de s'opposer conformément à l'article 19, paragraphe 3 bis; |
Amendement 102 Proposition de règlement Article 6 – paragraphe 1 – point f ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f ter) les données sont collectées à partir de registres, de listes ou de documents publics accessibles à tous; |
Amendement 103 Proposition de règlement Article 6 – paragraphe 1 – point f quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f quater) lorsque le responsable du traitement confie les données à caractère personnel à un tiers, ce dernier est coresponsable du respect du présent règlement; |
Amendement 104 Proposition de règlement Article 6 – paragraphe 1 – point f quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f quinquies) le traitement est strictement nécessaire pour répondre de manière adéquate à des incidents, des violations ou des attaques recensés menaçant la sécurité du réseau et/ou des informations; |
Amendement 105 Proposition de règlement Article 6 – paragraphe 1 – point f sexies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f sexies) le traitement est nécessaire aux fins de l'anonymisation ou de la pseudonymisation des données à caractère personnel. |
Amendement 106 Proposition de règlement Article 6 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83. |
2. Le traitement ultérieur de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties prévues à l'article 83. |
Justification | |
Il importe de clarifier et d'autoriser le traitement ultérieur (par exemple, mise en relation, correction et ajout de données concernant la personne concernée), puisque des recherches modernes et innovantes en matière de santé publique seront basées sur de multiples ensembles et séries historiques de données. | |
Amendement 107 Proposition de règlement Article 6 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Le traitement de données pseudonymisées afin de protéger les intérêts légitimes poursuivis par un responsable du traitement est licite, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
Justification | |
Le règlement ne reconnaît pas encore actuellement les différentes catégories de données et leurs différents traitements. | |
Amendement 108 Proposition de règlement Article 6 – paragraphe 3 – alinéa 1 – point b bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
b bis) des conventions internationales auxquelles l'Union ou un État membre est partie. |
Justification | |
Un intérêt général peut également être exprimé dans des conventions internationales, même en l'absence de dispositions législatives nationales ou de l'Union spécifiques. Il convient néanmoins que ces conventions respectent l'essence du droit à la protection des données à caractère personnel et soient proportionnées à l'objectif légitime poursuivi. De plus, tout traitement de données à caractère personnel effectué sur cette base devrait bien sûr également être conforme à tous les autres aspects du règlement à l'examen. | |
Amendement 109 Proposition de règlement Article 6 – paragraphe 3 – alinéa 2 | |
|
Texte proposé par la Commission |
Amendement |
|
La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi. |
La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui. La législation de l'État membre doit également être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel, consacré dans le présent règlement et les traités internationaux auxquels l'État membre est partie. Enfin, l'État membre évalue et décide si la législation nationale est proportionnée à l'objectif légitime poursuivi ou si un objectif légitime pourrait être atteint au moyen de solutions portant moins atteinte à la vie privée. |
Justification | |
Article 6, paragraph 1, indent e states that processing is lawful if the following applies: “processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller”. Seen in connection with the above mentioned paragraph 3 this leaves Member States a very wide room for eroding citizens’ protection of data mentioned in this regulation using national legislation. The harmonisation among Member States will come under pressure because national interests will result in many different examples of legislation. Citizens’ data will be processed differently in the different countries. This is not satisfying. Similar arguments can be found in relation to article 21. | |
Amendement 110 Proposition de règlement Article 6 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à f). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
Justification | |
Il importe d'inclure également des intérêts légitimes, tels que l'exemple sectoriel qu'est la mise en place d'une chaîne approvisionnement énergétique plus efficace grâce au développement de réseaux intelligents. Même s'il se peut que la consommation d'énergie d'une personne concernée n'ait pas été collectée spécifiquement pour contribuer à améliorer l'efficacité de l'approvisionnement global, s'il est dans l'intérêt légitime du prestataire de services d'utiliser cette information en vue d'atteindre cet objectif, il convient de ménager une certaine souplesse pour qu'il puisse le faire. | |
Amendement 111 Proposition de règlement Article 6 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. |
supprimé |
Amendement 112 Proposition de règlement Article 7 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement. |
supprimé |
Justification | |
Ce paragraphe est superflu étant donné que la charge de la preuve s'applique actuellement en vertu du droit procédural habituel. | |
Amendement 113 Proposition de règlement Article 7 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. La forme du consentement obtenu pour le traitement de données à caractère personnel d'une personne concernée est proportionnée au type de données traitées et à la finalité du traitement et déterminée au travers d'une analyse d'impact relative à la protection des données menée de manière appropriée, telle que décrite à l'article 33. |
Justification | |
Cet amendement lie la détermination de ce qui constitue un consentement proportionné aux résultats des analyses d'impact, ce qui favorisera leur utilisation. Lorsqu'aucune analyse d'impact relative à la protection des données n'a été effectuée, une exigence par défaut relative à un consentement explicite continuerait de s'appliquer. | |
Amendement 114 Proposition de règlement Article 7 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Si, sur la base d'une telle analyse d'impact, aucune autre forme de consentement n'apparaît proportionnée, le consentement est obtenu sous la forme d'une déclaration explicite, spécifique et informée ou d'un autre acte non équivoque. |
Justification | |
Cet amendement lie la détermination de ce qui constitue un consentement proportionné aux résultats des analyses d'impact, ce qui favorisera leur utilisation. Lorsqu'aucune analyse d'impact relative à la protection des données n'a été effectuée, une exigence par défaut relative à un consentement explicite continuerait de s'appliquer. | |
Amendement 115 Proposition de règlement Article 7 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire. |
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui la rende clairement visible. |
Justification | |
Les conditions dans lesquelles les personnes concernées donnent leur consentement devraient être claires et non ambigües. Si l'intention est de garantir que la partie du texte concernant le consentement ne soit pas noyée dans un jargon technique, il conviendrait sans doute de ne pas utiliser le verbe "distinguer", mais plutôt l'expression "clairement visible". Il convient de mettre en lumière l'exigence du consentement et non pas de la distinguer. | |
Amendement 116 Proposition de règlement Article 7 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. |
3. La personne concernée a le droit de retirer son consentement à tout moment. Si ce consentement fait partie d'une relation contractuelle ou juridique, son retrait est subordonné aux conditions contractuelles ou juridiques. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. |
Amendement 117 Proposition de règlement Article 7 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement. |
4. Le consentement d'un salarié ne constitue pas un fondement juridique valable pour le traitement de données par l'employeur lorsqu'il n'a pas été donné librement. La licéité du traitement est évaluée conformément à l'article 6, paragraphe 1, points a) à f) et à l'article 6, paragraphes 2 à 5. Le consentement de la personne, conformément à l'article 6, paragraphe 1, point a), peut être remplacé par des accords collectifs en tant que fondement juridique, en particulier par des conventions collectives ou des accords du comité d'entreprise. |
Amendement 118 Proposition de règlement Article 8 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Lorsqu'un service de la société de l'information met à la disposition des enfants des plateformes de réseaux sociaux, il prend des mesures explicites pour protéger leur bien-être, y compris en s'assurant que, dans la mesure du possible, les enfants aient connaissance de l'identité des personnes avec qui ils communiquent. |
Amendement 119 Proposition de règlement Article 8 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux méthodes d'obtention du consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. |
supprimé |
Amendement 120 Proposition de règlement Article 9 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales, à des infractions pénales, y compris les infractions et affaires qui n'ont pas donné lieu à une condamnation, à des problèmes sociaux importants, ou encore à des mesures de sûreté connexes sont interdits. |
Amendement 121 Proposition de règlement Article 9 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale prévoyant des garanties appropriées; ou |
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail ou de conventions collectives sur le marché du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale prévoyant des garanties appropriées en ce qui concerne les droits fondamentaux et les intérêts de la personne concernée; ou |
Amendement 122 Proposition de règlement Article 9 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou |
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association, des organisations actives sur le marché du travail ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou |
Justification | |
Il importe de préciser que les organisations actives sur le marché du travail peuvent continuer à traiter et à échanger des informations personnelles concernant leurs membres. | |
Amendement 123 Proposition de règlement Article 9 – paragraphe 2 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général sur le fondement du droit de l'Union ou d'un État membre, qui doit prévoir des mesures appropriées à la sauvegarde des intérêts légitimes de la personne concernée; ou |
g) le traitement et le partage sont nécessaires à l'exécution d'une mission effectuée dans l'intérêt général sur le fondement du droit de l'Union ou d'un État membre, ou de conventions internationales auxquelles l'Union ou un État membre est partie, qui doivent prévoir des mesures appropriées à la sauvegarde des intérêts légitimes de la personne concernée; ou |
Amendement 124 Proposition de règlement Article 9 – paragraphe 2 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties prévues à l'article 81; ou |
h) le traitement et le partage des données relatives à la santé sont nécessaires à des fins liées à la santé, y compris la recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 81; ou |
Justification | |
Cette précision est nécessaire afin de préserver le traitement des données médicales utilisées à des fins de recherche historique, statistique ou scientifique. Les scientifiques font largement recours aux registres de patients et aux banques biologiques afin de conduire des travaux de recherche épidémiologique, clinique et de transfert. Il est dès lors nécessaire de permettre le traitement de données à caractère personnel à des fins médicales. | |
Amendement 125 Proposition de règlement Article 9 – paragraphe 2 – point i | |
|
Texte proposé par la Commission |
Amendement |
|
i) le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou |
i) le traitement et le partage sont nécessaires à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties prévues à l'article 83; ou |
Amendement 126 Proposition de règlement Article 9 – paragraphe 2 – point j | |
|
Texte proposé par la Commission |
Amendement |
|
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous réserve des conditions et des garanties prévues à l'article 83 bis soit sous la supervision d'une autorité de contrôle, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire ou de conventions collectives applicables au marché du travail, auxquelles le responsable du traitement est soumis, à la prévention d'une infraction à leur égard ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates des droits fondamentaux de la personne concernée. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique; |
Amendement 127 Proposition de règlement Article 9 – paragraphe 2 – point j bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
j bis) le traitement des données relatives à la santé est nécessaire au système de protection sociale privé, notamment en assurant la sécurité des revenus ou en fournissant des outils permettant de gérer les risques dans l'intérêt de la personne concernée, des personnes à sa charge et de son patrimoine, ou en renforçant l'équité intergénérationnelle par la distribution. |
Amendement 128 Proposition de règlement Article 9 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2. |
3. Le comité européen de la protection des données se voit confier la tâche d'émettre des recommandations concernant les critères, les conditions et les garanties appropriées pour la protection des catégories particulières de données à caractère personnel conformément au paragraphe 2. |
Amendement 129 Proposition de règlement Article 10 | |
|
Texte proposé par la Commission |
Amendement |
|
Si les données traitées par un responsable du traitement ne lui permettent pas d'identifier une personne physique, le responsable du traitement n'est pas tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. |
Si les données traitées par un responsable du traitement ne lui permettent pas, au travers des moyens qu'il utilise, d'identifier une personne concernée, notamment lorsque ses données sont rendues anonymes ou pseudonymisées, le responsable du traitement n'obtient pas d'informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. |
|
|
Le responsable du traitement des bases de données de recherche fournit des informations générales sur les sources à l'origine des données de la base de données de recherche. |
Amendement 130 Proposition de règlement Article 11 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement applique des règles internes transparentes et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et en vue de l'exercice de leurs droits par les personnes concernées. |
1. Le responsable du traitement applique des règles internes transparentes en ce qui concerne le traitement des données à caractère personnel et en vue de l'exercice de leurs droits par les personnes concernées et, sur demande à cette fin, met à la disposition de tous, d'une manière adéquate, les informations mentionnées à l'article 28, paragraphe 2, points a) à g). |
Amendement 131 Proposition de règlement Article 11 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 11 bis |
|
|
L'article 12 de la directive 2002/58/CE et l'article 20 et l'article 21, paragraphe 3, point e), de la directive 2002/22/CE constituent une application du droit des personnes concernées à des informations et des communications transparentes, en conséquence de quoi le responsable du traitement doit informer les personnes concernées de leurs droits quant à l'utilisation de leurs informations personnelles et attirer leur attention sur l'existence de systèmes ayant été développés conformément aux principes du respect de la vie privée dès la conception. |
Justification | |
L'article 12 de la directive "Vie privée et communications électroniques" et les articles 20 et 21 de la directive "Services universels" couvrent les services d'annuaires comme faisant partie du champ d'application des services universels. Les bases de données des fournisseurs de services d'annuaires doivent être "exhaustives" et l'inclusion des données de l'abonné est dès lors importante, tout comme la nécessité pour l'abonné d'être clairement informé de toutes leurs options, indépendamment du modèle adopté par un État membre (consentement préalable de l'abonné pour le traitement des données, possibilité donnée à l'abonné de s'opposer au traitement des données ou combinaison de ces deux modèles). | |
Amendement 132 Proposition de règlement Article 12 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement établit les procédures d'information prévues à l'article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l'introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. |
1. Le responsable du traitement établit les procédures d'information prévues à l'article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l'introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement peut également fournir les moyens d'effectuer des demandes par voie électronique. |
Amendement 133 Proposition de règlement Article 12 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. |
Justification | |
Les petites et moyennes entreprises, notamment, pourraient se voir confrontées à une charge bureaucratique énorme si des dispositions devaient être prises en matière d'équipement électronique pour garantir un traitement électronique de la procédure. | |
Amendement 134 Proposition de règlement Article 12 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur volume élevé, de leur complexité ou de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais d'un montant approprié, dans un but non lucratif, pour fournir les informations ou pour prendre les mesures demandées, ou peut refuser de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
Justification | |
La fourniture de données conservées dans une base de données a un coût. Demander une contribution d'un montant approprié, dans un but non lucratif, aux personnes concernées pour l'accès aux données contribuerait à limiter les demandes futiles et est essentiel pour dissuader les fraudeurs d'obtenir d'importants volumes de données concernant les crédits des consommateurs pour les utiliser à des fins frauduleuses. | |
Amendement 135 Proposition de règlement Article 12 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4. |
supprimé |
Amendement 136 Proposition de règlement Article 12 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
6. La Commission établit des formulaires types et précise des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, elle prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Justification | |
Il est nécessaire d'établir des formulaires et des procédures types pour garantir la mise en œuvre effective de cette mesure, notamment par les micro, petites et moyennes entreprises. | |
Amendement 137 Proposition de règlement Article 14 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l'article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f); |
b) les finalités du traitement auquel sont destinées les données à caractère personnel et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f); |
Justification | |
L'exigence relative à la communication des clauses et des conditions générales du contrat est une question suffisamment réglementée par le droit civil. Du point de vue de la protection des données, il convient dès lors uniquement de fournir des informations concernant les finalités et les intérêts légitimes poursuivis dans le cadre du traitement. | |
Amendement 138 Proposition de règlement Article 14 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) la durée pendant laquelle les données à caractère personnel seront conservées; |
c) la durée prévue pendant laquelle les données à caractère personnel seront conservées; |
Amendement 139 Proposition de règlement Article 14 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle; |
Justification | |
Le devoir de préciser les coordonnées de l'autorité de contrôle, assorti d'une responsabilité en ce qui concerne toute information erronée, nécessiterait une révision permanente des informations en question, ce qui serait disproportionné, notamment pour les petites et moyennes entreprises. | |
Amendement 140 Proposition de règlement Article 14 – paragraphe 1 – point g bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
g bis) les informations concernant des mesures de sécurité spécifiques prises dans le but de protéger les données à caractère personnel. |
Amendement 141 Proposition de règlement Article 14 – paragraphe 1 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées. |
supprimé |
Justification | |
L'extension générale des obligations relatives aux informations, déjà substantielles, est susceptible d'entraîner une grande insécurité juridique. Ni l'entreprise concernée ni le consommateur ne peut déduire avec sécurité juridique de cette formulation quelles informations doivent être mises à disposition dans chaque cas précis. | |
Amendement 142 Proposition de règlement Article 14 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données. |
2. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire de la fourniture des données à caractère personnel. |
Justification | |
The information needs of data subjects are adequately taken into account, if they are informed whether the data provision is obligatory. Where this is not indicated, the provision of the data is consequently optional. The consumer is already accustomed to this practice. There is no reason to change this effective and functioning system. Information about whether the provision of information is mandatory or optional and the possible consequences of the refusal of the data would unnecessarily expand the information requirements. It is also unnecessary in many cases because it is already obvious from the context. In the course of ordering a product it is for example necessary to specify a shipping address, so that the product can actually be delivered. | |
Amendement 143 Proposition de règlement Article 14 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel. |
3. Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, dans la mesure du possible, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel, sauf lorsque les données proviennent d'une source accessible au public, lorsque le transfert est prévu par la loi ou lorsque le traitement est utilisé à des fins liées aux activités professionnelles de la personne concernée. |
Amendement 144 Proposition de règlement Article 14 – paragraphe 4 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois. |
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois, ou s'il est prévu que les données soient utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne. |
Justification | |
Le droit de la personne concernée au libre choix en matière d'informations est pris en compte de manière appropriée si les informations pertinentes sont fournies à ce moment-là. | |
Amendement 145 Proposition de règlement Article 14 – paragraphe 5 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés; ou |
b) les données ne sont pas collectées auprès de la personne concernée ou les données traitées ne permettent pas la vérification de l'identité et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés, par exemple en générant une charge administrative excessive, en particulier lorsque le traitement est réalisé par une PME; ou |
Amendement 146 Proposition de règlement Article 14 – paragraphe 5 – point d bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d bis) les données proviennent de sources accessibles au public. |
Amendement 147 Proposition de règlement Article 14 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. |
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises, en concertation avec les acteurs concernés. |
Justification | |
Il convient de se prémunir du risque d'opacité associé aux actes délégués, en veillant à ce qu'ils soient élaborés en collaboration étroite avec les acteurs qui y seront soumis. | |
Amendement 148 Proposition de règlement Article 15 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes: |
1. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation, dans un langage clair et simple, que les données à caractère personnel la concernant sont ou ne sont pas traitées. À l'exception des données utilisées à des fins de recherche historique, statistique ou scientifique, lorsque des données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes: |
Amendement 149 Proposition de règlement Article 15 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) la durée pendant laquelle les données à caractère personnel seront conservées; |
d) la durée maximale pendant laquelle les données à caractère personnel seront conservées; |
Justification | |
La durée de conservation des données les plus diverses est extrêmement variable et, souvent, elle ne peut pas être déterminée avec précision à l'avance. La durée maximale de conservation des données à caractère personnel devrait dès lors être mentionnée. | |
Amendement 150 Proposition de règlement Article 15 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données; |
e) l'existence du droit de demander au responsable du traitement la rectification conformément à l'article 16 ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données; |
Amendement 151 Proposition de règlement Article 15 – paragraphe 1 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
f) le droit d'introduire une réclamation auprès de l'autorité de contrôle; |
Justification | |
Le devoir de préciser les coordonnées de l'autorité de contrôle, assorti d'une responsabilité en ce qui concerne toute information erronée, nécessiterait une révision permanente des informations en question, ce qui serait disproportionné, notamment pour les petites et moyennes entreprises. | |
Amendement 152 Proposition de règlement Article 15 – paragraphe 1 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20. |
h) l'importance et les conséquences envisagées de ce traitement. |
Amendement 153 Proposition de règlement Article 15 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. La personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement de la source des données, confirmation que les données à caractère personnel la concernant sont ou ne sont pas en cours de traitement dans une base de données de recherche, conformément à l'article 10. |
Justification | |
Data in research databases will most often be considered personal data according to a high threshold of the definition of data considered personal. For linked research databases it would involve a disproportionate effort for the controller of the linked data to back track data on individual data subjects, since information on the single data subject may be build on data from different data sources, and data may not directly identifiable when the Key ID is kept with the controller of the original data source. Article 10 solves the paradox that in order to notify data subjects on data about him or her in the database, the controller should do what he is not allowed to, namely to identify that data subject. | |
Amendement 154 Proposition de règlement Article 15 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g). |
supprimé |
Amendement 155 Proposition de règlement Article 16 | |
|
Texte proposé par la Commission |
Amendement |
|
La personne concernée a le droit d'obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris au moyen d'une déclaration rectificative complémentaire. |
(Ne concerne pas la version française.) |
Amendement 156 Proposition de règlement Article 17 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Droit à l'oubli numérique et à l'effacement |
Droit à l'effacement |
Amendement 157 Proposition de règlement Article 17 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu'elle était enfant, ou pour l'un des motifs suivants: |
1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et l'abstention de tout traitement ultérieur de ces données, à moins que le responsable du traitement des données soit une autorité publique ou une entité mandatée par l'autorité ou agissant en son nom, y compris en ce qui concerne des données à caractère personnel que la personne concernée avait rendues disponibles lorsqu'elle était enfant, ou pour l'un des motifs suivants: |
Amendement 158 Proposition de règlement Article 17 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, |
a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ultérieurement et la période de conservation minimale juridiquement contraignante a expiré; |
Amendement 159 Proposition de règlement Article 17 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données; |
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement ou à la conservation des données; |
Amendement 160 Proposition de règlement Article 17 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Le responsable du traitement prend toutes les mesures raisonnables pour communiquer tout effacement de données à chaque entité juridique à laquelle les données ont été diffusées. |
Amendement 161 Proposition de règlement Article 17 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Le paragraphe 1 ne s'applique que lorsque le responsable du traitement est en mesure de confirmer l'identité de la personne concernée à l'origine de la demande d'effacement. |
Amendement 162 Proposition de règlement Article 17 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. |
supprimé |
Justification | |
Étant donné la nature de l'internet et les possibilités de mettre en ligne des informations sur divers sites dans le monde entier, cette disposition n'est pas réaliste. | |
Amendement 163 Proposition de règlement Article 17 – paragraphe 3 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le responsable du traitement procède à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire: |
3. Le responsable du traitement procède à l'effacement sans retard injustifié, sauf lorsque la conservation et la diffusion des données à caractère personnel sont nécessaires: |
Amendement 164 Proposition de règlement Article 17 – paragraphe 3 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81; |
b) pour des motifs d'intérêt général dans le domaine de la santé publique et à des fins sanitaires, conformément à l'article 81; |
Amendement 165 Proposition de règlement Article 17 – paragraphe 3 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi; |
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; |
Justification | |
Il se peut que des législations d'autres États membres imposent aux responsables du traitement de refuser le droit à l'oubli. Les données peuvent devoir être conservées à des fins comptables en vertu de règles en matière d'information financière par exemple. | |
Amendement 166 Proposition de règlement Article 17 – paragraphe 3 – point e bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e bis) à des fins de prévention ou de détection des fraudes, de confirmation d'identité et/ou d'établissement de la solvabilité ou de la capacité à payer. |
Amendement 167 Proposition de règlement Article 17 – paragraphe 4 – point d bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d bis) lorsque le responsable des données doit conserver les données à caractère personnel afin de garantir que, sur la base d'une opposition en vertu de l'article 19, tout traitement ultérieur des données concernées est exclu. |
Justification | |
Une opposition au traitement de données à caractère personnel en vertu de l'article 19 exclut tout traitement futur des données concernées. Afin de garantir que les données concernées ne soient pas en réalité utilisées dans le cadre de traitements futurs, elles ne doivent pas être effacées, mais bloquées ou marquées de quelque autre manière. | |
Amendement 168 Proposition de règlement Article 17 – paragraphe 6 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
6 bis. Les demandes de rectification, d'effacement ou de blocage de données à caractère personnel sont sans préjudice du traitement nécessaire pour sécuriser, protéger et maintenir la résilience d'un ou de plusieurs systèmes d'information. En outre, le droit de rectifier et/ou d'effacer des données à caractère personnel ne s'applique pas aux données à caractère personnel devant être conservées par obligation légale ou pour protéger les droits du responsable du traitement, du sous-traitant ou de tiers. |
Justification | |
Il existe des circonstances dans lesquelles le droit de la personne concernée à rectifier ou à effacer des données à caractère personnel ne devrait pas s'appliquer – par exemple, en conformité avec la législation des États membres de l'Union et d'autres juridictions exigeant la conservation de certains types de données à caractère personnel pour des raisons de sécurité nationale ou pour des enquêtes sur de possibles méfaits. | |
Amendement 169 Proposition de règlement Article 17 – paragraphe 9 | |
|
Texte proposé par la Commission |
Amendement |
|
9. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser: |
supprimé |
|
a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données; |
|
|
b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2; |
|
|
c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4. |
|
Amendement 170 Proposition de règlement Article 18 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée. |
1. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit, lorsque cette opération est techniquement faisable, d'obtenir, sur demande, auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée. |
Amendement 171 Proposition de règlement Article 18 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle. |
2. Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies, lorsque cette opération est techniquement faisable, et qui sont conservées par un système de traitement automatisé. |
Amendement 172 Proposition de règlement Article 18 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Les droits visés aux paragraphes 1 et 2 ne portent pas atteinte aux droits et libertés d'autrui, notamment au secret des affaires ou aux droits de propriété intellectuelle. Ces considérations n'aboutissent pas à refuser toute information à la personne concernée. |
Justification | |
Reprise du considérant 51 relatif à l'accès aux données. Il convient de tenir dûment compte des limites à la portabilité des données, notamment en ce qui concerne les intérêts légitimes des entreprises à préserver le secret des affaires et les droits de propriété intellectuelle, dans la limite du raisonnable. | |
Amendement 173 Proposition de règlement Article 18 – paragraphe 2 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 ter. Les droits visés aux paragraphes 1 et 2 sont sans préjudice de l'obligation de supprimer des données lorsqu'elles ne sont plus nécessaires au titre de l'article 5, point e). |
Amendement 174 Proposition de règlement Article 18 – paragraphe 2 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 quater. Les paragraphes 1 et 2 ne s'appliquent pas au traitement de données anonymisées ou pseudonymisées en ce sens que la personne concernée n'est pas suffisamment identifiable sur la base de ces informations, ou que l'identification exigerait que le responsable du traitement annule le processus de pseudonymisation. |
Amendement 175 Proposition de règlement Article 18 – paragraphe 2 quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 quinquies. Les paragraphes 1 et 2 ne s'appliquent pas lorsque le responsable du traitement peut raisonnablement démontrer qu'il est impossible de séparer les données de la personne concernée de données d'autres personnes concernées. |
Amendement 176 Proposition de règlement Article 18 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
3. Le responsable du traitement détermine le format électronique, lié aux fonctionnalités et aux procédures pour la transmission de données à caractère personnel conformément au paragraphe 2, en se référant aux normes du secteur les plus appropriées ou telles que définies par les parties prenantes du secteur ou les organismes de normalisation. La Commission encourage et soutient le secteur, les parties prenantes et les organismes de normalisation dans l'élaboration et l'adoption de normes techniques, de modalités et de procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. |
Amendement 177 Proposition de règlement Article 18 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 18 bis |
|
|
Lorsque la personne concernée exerce les droits mentionnés aux articles 14 à 19 du présent règlement, les responsables du traitement s'assurent que suffisamment de documents ont été reçus pour déterminer son identité. |
Justification | |
Les citoyens doivent prouver leur identité s'ils veulent exercer leurs droits, et ce afin d'éviter toute forme d'usurpation d'identité. | |
Amendement 178 Proposition de règlement Article 19 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), à moins que le responsable du traitement n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
1. La personne concernée a le droit de s'opposer à tout moment, dans les cas visés à l'article 6, paragraphe 1, points d), e) et f, pour des raisons prépondérantes justifiant une protection et tenant à sa situation particulière, à ce que ses données à caractère personnel fassent l'objet d'un traitement. En cas d'opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données. |
Justification | |
Ces modifications reprennent le libellé de la disposition relative à l'opposition de l'article 14, point b), de la directive 95/46/CE, laquelle est efficace et a fait ses preuves. Il n'existe aucune raison de modifier le système actuel. Aucun problème d'ordre pratique n'a été signalé dans ce domaine qui justifierait une modification de la législation. Ce point de vue vaut d'autant plus que le règlement à l'examen sera d'application directe et qu'il n'offrira pas la souplesse de la directive. | |
Amendement 179 Proposition de règlement Article 19 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations. |
2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct ou lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible, dans des termes clairs et simples, adaptés à la personne concernée, en particulier pour toute information spécifiquement adressée à un enfant, et doit pouvoir être clairement distingué d'autres informations. |
Amendement 180 Proposition de règlement Article 19 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Lorsque des données pseudonymisées sont traitées sur la base de l'article 6, paragraphe 1, point g), la personne concernée a le droit de s'opposer, gratuitement, au traitement. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations. |
Amendement 181 Proposition de règlement Article 20 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. |
1. Une personne concernée a le droit de ne pas être soumise à une mesure l'affectant négativement, que ce soit en ligne ou hors ligne, prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects personnels propres à une personne concernée ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. |
Amendement 182 Proposition de règlement Article 20 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Des profils d'utilisateurs utilisant des données pseudonymisées peuvent être établis à des fins publicitaires, d'études de marché ou d'adaptation des médias télévisés, pour autant que la personne concernée ne s'y oppose pas. La personne concernée doit être informée de son droit d'opposition. Les profils d'utilisateurs ne peuvent être associés aux données relatives au titulaire du pseudonyme. |
Justification | |
La formulation initiale de l'article 20 pourrait contraindre les entreprises à obtenir un consentement pour tout type de traitement des données à caractère personnel. Toutefois, afin de ne pas détruire en particulier le modèle économique d'innombrables petites et moyennes entreprises européennes et de ne pas donner ainsi la priorité à de grandes sociétés américaines, certaines formes de traitement des données devraient être autorisées, moyennant une prise en compte adéquate de la protection des données à caractère personnel. | |
Amendement 183 Proposition de règlement Article 20 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Les responsables du traitement des données avertissent la personne concernée lorsque le traitement visé au paragraphe 1 a lieu et donnent à celle-ci le droit de faire réexaminer cette décision. |
Justification | |
Le profilage à des fins d'évaluation de la solvabilité doit être clairement distingué du profilage à d'autres fins, en particulier parce que ce type de profilage est clairement notifié à l'avance à la personne concernée. | |
Amendement 184 Proposition de règlement Article 20 – paragraphe 2 – point a bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
a bis) est fondé sur des données pseudonymisées; |
Amendement 185 Proposition de règlement Article 20 – paragraphe 2 – point a ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
a ter) est fondé sur les intérêts légitimes poursuivis par le responsable du traitement des données; |
Amendement 186 Proposition de règlement Article 20 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d'obtenir une intervention humaine; ou |
supprimé |
Amendement 187 Proposition de règlement Article 20 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou |
supprimé |
Amendement 188 Proposition de règlement Article 20 – paragraphe 2 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées. |
supprimé |
Amendement 189 Proposition de règlement Article 20 – paragraphe 2 – point c bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
c bis) est nécessaire pour protéger les intérêts vitaux de la personne concernée ou pour servir l'intérêt général, comme le prévoient les points d) et e) de l'article 5; |
Amendement 190 Proposition de règlement Article 20 – paragraphe 2 – point c ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
c ter) est limité aux données pseudonymisées. Ces données pseudonymisées ne doivent pas être collationnées avec les données relatives au porteur du pseudonyme. Les dispositions de l'article 19, paragraphe 3 bis, s'appliquent mutatis mutandis; |
Justification | |
Amendement conforme à l'article 15, paragraphe 3, de la loi Telemedia allemande qui encourage la pseudonymisation des données et constitue un cadre législatif clair pour le profilage dans les domaines, entre autres, de la publicité et des études de marché. | |
Amendement 191 Proposition de règlement Article 20 – paragraphe 2 – point c quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
c quater) est nécessaire pour protéger les droits des autres personnes concernées, par exemple aux fins de la détection de la fraude, d'irrégularités ou de toute autre activité illégale conformément au droit de l'Union ou d'un État membre; |
Amendement 192 Proposition de règlement Article 20 – paragraphe 2 – point c quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
c quinquies) concerne des données qui ont été rendues anonymes. |
Justification | |
Il s'agit des données qui ont été rendues anonymes de manière permanente, aux termes de la définition de l'article 4, point 2 quater (nouveau). | |
Amendement 193 Proposition de règlement Article 20 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 9. |
supprimé |
Amendement 194 Proposition de règlement Article 20 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique n'est pas utilisé pour identifier ou individualiser des enfants. |
Amendement 195 Proposition de règlement Article 20 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l'existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée. |
supprimé |
Amendement 196 Proposition de règlement Article 20 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2. |
supprimé |
Amendement 197 Proposition de règlement Article 21 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Les acteurs du marché du travail peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 et à l'article 32, lorsqu'une telle limitation a été acceptée dans des conventions collectives nationales comme constituant une mesure nécessaire et proportionnée. |
Justification | |
Le marché du travail est réglementé d'une manière très variable dans les différents États membres. Certains pays ont une tradition législative en la matière, tandis que d'autres ont au contraire un degré élevé de réglementation qui découle des conventions collectives. | |
Amendement 198 Proposition de règlement Article 22 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement adopte des règles internes et met en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement. |
1. Compte tenu des techniques les plus récentes, de la nature du traitement des données à caractère personnel et du type d'organisation, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, des mesures techniques et organisationnelles démontrables et appropriées doivent être mises en œuvre de manière à ce que le traitement soit conforme aux exigences du présent règlement et garantisse la protection des droits de la personne concernée dès le stade de la conception. |
Justification | |
Le règlement doit offrir suffisamment de flexibilité pour permettre aux différentes organisations de mettre en œuvre les mesures techniques et organisationnelles les plus efficaces, adaptées à la nature et à la structure de chaque organisation concernée. | |
Amendement 199 Proposition de règlement Article 22 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. À la demande de l'autorité de protection des données compétente, le responsable du traitement ou le sous-traitant démontre l'existence de mesures techniques et organisationnelles. |
Amendement 200 Proposition de règlement Article 22 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Un groupe d'entreprises peut appliquer des mesures techniques et organisationnelles conjointes afin de remplir ses obligations au titre du présent règlement. |
Amendement 201 Proposition de règlement Article 22 – paragraphe 1 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 quater. Le présent article ne s'applique pas aux personnes physiques traitant des données à caractère personnel en l'absence de tout intérêt commercial. |
Amendement 202 Proposition de règlement Article 22 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les mesures prévues au paragraphe 1 portent notamment sur: |
2. Les mesures précitées incluent, sans s'y limiter: |
Amendement 203 Proposition de règlement Article 22 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) la tenue de la documentation en application de l'article 28; |
a) la surveillance indépendante, par la direction de l'entreprise concernée, du traitement des données à caractère personnel afin de garantir l'existence et l'efficacité des mesures techniques et organisationnelles; |
Amendement 204 Proposition de règlement Article 22 – paragraphe 2 – point a bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
a bis) la mise en œuvre d'un système de gestion du contrôle, y compris l'attribution des responsabilités, la formation du personnel et les instructions nécessaires; |
Amendement 205 Proposition de règlement Article 22 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) la mise en œuvre des obligations en matière de sécurité des données prévues à l'article 30; |
b) l'existence de politiques, d'instructions ou d'autres lignes directrices appropriées en vue de guider le traitement des données, nécessaires afin de se conformer au règlement, ainsi que des procédures et des mesures d'exécution nécessaires pour rendre ces lignes directrices effectives; |
Amendement 206 Proposition de règlement Article 22 – paragraphe 2 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) la réalisation d'une analyse d'impact relative à la protection des données en application de l'article 33; |
c) l'existence de procédures de planification appropriées afin de garantir la conformité et de faire face au traitement potentiellement risqué des données à caractère personnel avant le début du traitement; |
Amendement 207 Proposition de règlement Article 22 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2; |
d) l'existence d'une trace documentaire appropriée du traitement des données pour permettre de répondre aux obligations découlant du présent règlement; |
Amendement 208 Proposition de règlement Article 22 – paragraphe 2 – point e bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e bis) des politiques de gestion des données précises et accessibles qui sont proportionnées au volume et au type de données traitées par le responsable du traitement et au risque d'atteinte à la protection des données que leur traitement implique; |
Justification | |
Les points ajoutés sont destinés à constituer la base d'un véritable mécanisme de responsabilité qui puisse être mis en œuvre avec suffisamment de souplesse pour convenir tant aux grandes qu'aux petites entreprises. Un tel concept est conforme aux bonnes pratiques déjà en vigueur dans le cadre d'autres régimes de conformité, tels que les dispositions anticorruption. | |
Amendement 209 Proposition de règlement Article 22 – paragraphe 2 – point e ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e ter) l'existence d'activités adéquates de sensibilisation et de formation relatives aux obligations découlant du présent règlement à l'intention du personnel participant au traitement des données et aux décisions y afférentes; |
Amendement 210 Proposition de règlement Article 22 – paragraphe 2 – point e quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e quater) la mise en place des mesures visées à l'article 11 et leur justification par des pièces documentaires; |
Amendement 211 Proposition de règlement Article 22 – paragraphe 2 – point e quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e quinquies) les preuves de l'engagement de la direction générale à mettre en œuvre, dans l'ensemble de l'entreprise, des politiques de gestion des données propres à garantir le respect du présent règlement. |
Justification | |
Les points ajoutés sont destinés à constituer la base d'un véritable mécanisme de responsabilité qui puisse être mis en œuvre avec suffisamment de souplesse pour convenir tant aux grandes qu'aux petites entreprises. Un tel concept est conforme aux bonnes pratiques déjà en vigueur dans le cadre d'autres régimes de conformité, tels que les dispositions anticorruption. | |
Amendement 212 Proposition de règlement Article 22 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Les rapports d'activité réguliers du responsable du traitement contiennent une description des politiques et mesures visées au paragraphe 1. |
Amendement 213 Proposition de règlement Article 22 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises. |
supprimé |
Amendement 214 Proposition de règlement Article 23 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Protection des données dès la conception et protection des données par défaut |
Protection des données dès la conception |
Amendement 215 Proposition de règlement Article 23 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. |
1. Compte étant tenu des techniques les plus récentes, des coûts liés à leur mise en œuvre et des meilleures pratiques internationales, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. |
|
|
Néanmoins, le responsable du traitement est uniquement chargé de mesures proportionnelles au risque du traitement des données, reflété par la nature des données à caractère personnel à traiter. |
Amendement 216 Proposition de règlement Article 23 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques. |
2. Les mesures et procédures visées au paragraphe 1: |
|
|
a) tiennent dûment compte des normes et réglementations techniques existantes dans le domaine de la sécurité et de la sûreté publiques; |
|
|
b) suivent le principe de la neutralité des technologies, des services et des modèles d'entreprise; |
|
|
c) sont fondées sur des efforts et des normes émanant des entreprises au niveau mondial; |
|
|
d) tiennent dûment compte des évolutions internationales. |
Amendement 217 Proposition de règlement Article 23 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Lors de la mise en œuvre des dispositions du présent règlement, il convient de veiller à ce qu'aucune exigence relative à des caractéristiques techniques spécifiques ne soit imposée aux produits et services, notamment aux terminaux ou à d'autres équipements de communications électroniques, si elle risque d'entraver la mise sur le marché d'équipements et la libre circulation de ces équipements dans les États membres et entre ces derniers. |
Amendement 218 Proposition de règlement Article 23 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l'ensemble des secteurs, produits et services. |
supprimé |
Amendement 219 Proposition de règlement Article 23 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 220 Proposition de règlement Article 24 | |
|
Texte proposé par la Commission |
Amendement |
|
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. |
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. |
Justification | |
Il convient de demander expressément que l'accord conclu par les responsables conjoints du traitement reflète dûment leurs rôles respectifs et leurs relations avec les personnes concernées. Ces responsables ne se trouvent pas nécessairement dans une position de négociation égale lorsqu'il s'agit d'accords contractuels. En outre, tous n'ont pas une relation directe avec la personne concernée et ne contrôlent pas le même type ni la même quantité de données à caractère personnel. | |
Amendement 221 Proposition de règlement Article 25 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même. |
supprimé |
Justification | |
Le représentant agit au nom du responsable du traitement des données et est le responsable du traitement au sein de l'Union. "Non bis in idem". | |
Amendement 222 Proposition de règlement Article 26 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures. |
1. Lorsque le traitement de données est effectué par un sous-traitant pour le compte du responsable du traitement et pourrait permettre au sous-traitant d'identifier raisonnablement la personne concernée, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures. |
Amendement 223 Proposition de règlement Article 26 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant: |
2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement. Le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et responsabilités respectifs à l'égard des dispositions du présent règlement, et prévoient que: |
Amendement 224 Proposition de règlement Article 26 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit; |
a) le sous-traitant n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit; |
Amendement 225 Proposition de règlement Article 26 – paragraphe 2 – point b bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
b bis) le principe de la protection des données dès le stade de la conception est appliqué; |
Amendement 226 Proposition de règlement Article 26 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement; |
supprimé |
Amendement 227 Proposition de règlement Article 26 – paragraphe 2 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III; |
e) dans la mesure du possible compte tenu de la nature du traitement et de la capacité du sous-traitant d'apporter son aide moyennant un effort raisonnable, un accord est conclu sur les conditions techniques et organisationnelles appropriées et pertinentes qui contribuent à la capacité du responsable du traitement de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III; |
Amendement 228 Proposition de règlement Article 26 – paragraphe 2 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34; |
f) dans la mesure du possible compte tenu de la nature du traitement, des informations à la disposition du sous-traitant et de sa capacité à apporter son aide moyennant un effort raisonnable, un accord est conclu sur la manière dont le respect des obligations prévues aux articles 30 à 34 sera garanti; |
Amendement 229 Proposition de règlement Article 26 – paragraphe 2 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) transmet tous les résultats au responsable du traitement après la fin du traitement et s'abstient de traiter les données à caractère personnel de toute autre manière; |
g) le sous-traitant transmet tous les résultats au responsable du traitement après la fin du traitement ou les détruit d'une manière commercialement acceptée; |
Amendement 230 Proposition de règlement Article 26 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l'égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24. |
supprimé |
Amendement 231 Proposition de règlement Article 26 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d'un groupe d'entreprises, en particulier aux fins de contrôle et de présentation de rapports. |
supprimé |
Justification | |
Le principe de responsabilité doit laisser le règlement des détails au responsable du traitement et au sous-traitant. | |
Amendement 232 Proposition de règlement Article 28 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire de tous les traitements effectués sous leur responsabilité. |
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire appropriée des mesures prises pour garantir que le traitement des données à caractère personnel effectué sous leur responsabilité respecte le présent règlement. |
Amendement 233 Proposition de règlement Article 28 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Les documents visés au paragraphe 1 contiennent les informations permettant à l'autorité de contrôle de déterminer que le responsable du traitement ou le sous-traitant s'est conformé au présent règlement, y compris une description de toute mesure ou de tout mécanisme interne applicable visant au respect de l'article 22. |
Justification | |
Que ce soit pour les entreprises multinationales ou pour les petites entreprises, il n'est pas réaliste d'imposer une exigence normative relative aux documents à conserver pour chaque opération de traitement effectuée. Cela n'aboutirait pas à un renforcement de la protection des données des consommateurs. L'amendement proposé évite des programmes de conformité légalistes et onéreux en matière de protection des données qui engendrent des charges administratives sans améliorer les pratiques opérationnelles sur le terrain. | |
Amendement 234 Proposition de règlement Article 28 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Les obligations visées aux paragraphes 1 et 1 bis ne s'appliquent pas aux PME qui traitent des données uniquement en tant qu'activité accessoire à la vente de biens ou de services. L'activité accessoire se définit comme une activité commerciale ou non qui n'est pas liée aux activités de base d'une entreprise. En ce qui concerne la protection des données, les activités de traitement des données qui ne représentent pas plus de 50 % du chiffre d'affaires de l'entreprise sont considérées comme des activités accessoires. |
Amendement 235 Proposition de règlement Article 28 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La documentation constituée comporte au moins les informations suivantes: |
supprimé |
|
a) le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous-traitant, et du représentant, le cas échéant; |
|
|
b) le nom et les coordonnées du délégué à la protection des données, le cas échéant; |
|
|
c) les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f); |
|
|
d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant; |
|
|
e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris les responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent; |
|
|
f) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l'existence de garanties appropriées; |
|
|
g) une indication générale des délais impartis pour l'effacement des différentes catégories de données; |
|
|
h) la description des mécanismes prévus à l'article 22, paragraphe 3. |
|
Amendement 236 Proposition de règlement Article 28 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci. |
3. Le responsable du traitement ainsi que, le cas échéant, son représentant mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci. |
Amendement 237 Proposition de règlement Article 28 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement. |
supprimé |
Amendement 238 Proposition de règlement Article 28 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
6. La Commission, après consultation du comité européen de la protection des données, peut établir des formulaires types pour la documentation visée au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Amendement 239 Proposition de règlement Article 29 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe. |
1. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en lui communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et lui en accordant un accès à ces documents, conformément aux dispositions du point b) dudit paragraphe. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, sur la base d'une demande d'accès motivée. |
Amendement 240 Proposition de règlement Article 29 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Quand le contrôleur et le sous-traitant sont établis dans plusieurs États membres pour l'ensemble ou une partie des opérations de traitement des données, ils ont la possibilité de désigner leur établissement principal. |
Amendement 241 Proposition de règlement Article 30 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger. |
1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées, y compris la pseudonymisation, afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger. |
|
|
Néanmoins, le responsable du traitement et le sous-traitant sont uniquement chargés de mesures proportionnelles au risque du traitement des données, reflété par la nature des données à caractère personnel à traiter. |
Amendement 242 Proposition de règlement Article 30 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Les obligations légales visées aux paragraphes 1 et 2, qui nécessitent un traitement des données à caractère personnel dans la mesure strictement nécessaire aux fins de garantir la sécurité du réseau et des informations, constituent un intérêt légitime poursuivi par un responsable du traitement ou un sous-traitant ou en leur nom, comme indiqué à l'article 6, paragraphe 1, point f). |
Amendement 243 Proposition de règlement Article 30 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique. |
supprimé |
Amendement 244 Proposition de règlement Article 30 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue: |
supprimé |
|
a) d'empêcher tout accès non autorisé à des données à caractère personnel; |
|
|
b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel; |
|
|
c) d'assurer la vérification de la licéité des traitements. |
|
|
Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 245 Proposition de règlement Article 31 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. |
1. En cas de violation de données à caractère personnel relatives à des catégories particulières de données à caractère personnel, aux données à caractère personnel qui sont soumises au secret des affaires, aux données à caractère personnel concernant des infractions pénales ou la suspicion d'un acte criminel, ou aux données à caractère personnel concernant des comptes bancaires ou des comptes liés à des cartes de crédit, qui menace gravement les droits ou les intérêts légitimes de la personne concernée, le responsable du traitement informe l'autorité de contrôle, sans retard injustifié, de cette violation. |
Amendement 246 Proposition de règlement Article 31 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. En vertu de l'article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel. |
2. En vertu de l'article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement sans retard injustifié après avoir identifié une violation de données à caractère personnel susceptible de produire des effets juridiques au détriment de la vie privée de la personne concernée. |
Amendement 247 Proposition de règlement Article 31 – paragraphe 3 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel. |
e) décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et/ou en atténuer les effets. |
Amendement 248 Proposition de règlement Article 31 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin. |
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin. |
Amendement 249 Proposition de règlement Article 31 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à l'établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel. |
supprimé |
Amendement 250 Proposition de règlement Article 31 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l'obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l'effacement des informations qui y figurent. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle et les procédures applicables à l'établissement des rapports. |
Amendement 251 Proposition de règlement Article 32 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. |
1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel, à la vie privée de la personne concernée ou à ses droits ou intérêts légitimes, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. Il y a lieu de considérer qu'une violation porte atteinte aux données à caractère personnel ou à la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. |
Amendement 252 Proposition de règlement Article 32 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b) et c). |
2. La communication à la personne concernée prévue au paragraphe 1 est complète, claire et intelligible par tout un chacun, elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b), c) et d). |
Amendement 253 Proposition de règlement Article 32 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l'autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. |
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si cette violation n'a pas produit de préjudice significatif, si le responsable du traitement a mis en œuvre les mesures de protection technologiques appropriées et si ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles, inutilisables ou anonymisées pour toute personne qui n'est pas autorisée à y avoir accès. |
Amendement 254 Proposition de règlement Article 32 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel. |
supprimé |
Amendement 255 Proposition de règlement Article 32 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 32 bis |
|
|
Communication aux autres organisations d'une violation de données à caractère personnel |
|
|
Un responsable du traitement des données qui communique une violation de données à caractère personnel à une personne concernée en application de l'article 32 peut en informer une autre organisation, une institution gouvernementale ou une partie d'une institution gouvernementale si cette organisation, cette institution gouvernementale ou cette partie peut être en mesure de réduire le risque du préjudice susceptible d'être causé ou d'atténuer ce préjudice. Ces notifications peuvent être effectuées sans en informer la personne concernée si la divulgation a pour seule finalité de réduire le risque du préjudice susceptible d'être causé à la personne concernée à la suite de la violation ou d'atténuer ce préjudice. |
Justification | |
Dans de nombreux cas, d'autres organisations ou institutions gouvernementales sont en mesure d'aider à atténuer le préjudice susceptible d'être causé à une personne concernée à la suite d'une violation de données à caractère personnel si elles sont informées de la violation et des circonstances qui entourent celle-ci. | |
Amendement 256 Proposition de règlement Chapitre 4 – section 3 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE |
ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET NOTIFICATION PRÉALABLE |
Justification | |
Les procédures nécessitant une autorisation préalable sont coûteuses et demandent beaucoup de temps au responsable du traitement. En outre, leur valeur ajoutée par rapport à un système de notification préalable peut être mise en cause du point de vue de la protection des données. Un système de notifications préalables qui donne à l'autorité de contrôle la possibilité de réagir et d'agir est suffisant, et constitue en outre une procédure simple d'utilisation en matière de protection des données. | |
Amendement 257 Proposition de règlement Article 33 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. |
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement effectue une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. Une seule analyse suffit à examiner un ensemble de traitements qui présentent des risques similaires. Les PME sont uniquement tenues d'effectuer une analyse d'impact trois ans après leur constitution si le traitement de données est considéré comme l'une de leurs activités principales. |
Amendement 258 Proposition de règlement Article 33 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants: |
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont les suivants: |
Justification | |
Pour des raisons de sécurité juridique, il est nécessaire de définir clairement et de manière exhaustive quels risques particuliers sont concernés. | |
Amendement 259 Proposition de règlement Article 33 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne; |
a) l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques préjudiciables à ladite personne, y compris tout traitement ultérieur visé à l'article 20, paragraphe 1, du présent règlement; |
Amendement 260 Proposition de règlement Article 33 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises; |
b) le traitement d'informations relatives à la vie sexuelle, à la santé, aux opinions politiques, aux croyances religieuses, aux condamnations pénales, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises; |
Amendement 261 Proposition de règlement Article 33 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées. |
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, notamment du risque de discrimination inhérents aux traitements ou que celui-ci pourrait accentuer, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées et en prenant également en considération les technologies et méthodes modernes qui sont de nature à améliorer la protection de la vie privée des citoyens. Lorsque des lignes directrices européennes existent, elles sont prises en considération dans l'analyse d'impact. |
Amendement 262 Proposition de règlement Article 33 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements. |
supprimé |
Justification | |
Le fait de demander activement l'avis des personnes concernées représente une charge disproportionnée pour les responsables du traitement. | |
Amendement 263 Proposition de règlement Article 33 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement. |
5. Lorsque le responsable du traitement est une autorité ou un organisme publics ou lorsque les données sont traitées par un autre organisme qui a été chargé d'exécuter des missions de service public, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement. |
Justification | |
C'est la nature du service fourni et non celle de l'organisme fournissant ce service qui détermine l'application ou non des règles en matière d'analyse d'impact. Par exemple, les organismes privés se voient souvent confier la responsabilité de fournir des services publics. La prestation de services publics devrait faire l'objet d'une seule et unique approche, indépendamment de la question de savoir si l'organisme fournissant ce service est une autorité ou un organisme publics, ou bien une organisation privée mandatée à cette fin. | |
Amendement 264 Proposition de règlement Article 33 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l'analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. |
supprimé |
Amendement 265 Proposition de règlement Article 33 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l'audit de l'analyse visée au paragraphe 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 266 Proposition de règlement Article 33 – paragraphe 7 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
7 bis. Les analyses d'impact relatives à la protection des données sont considérées comme des communications confidentielles. |
Justification | |
Il est important que cela soit précisé afin d'apaiser les craintes des entreprises qui redoutent que de nouveaux processus innovants soumis au secret commercial ne soient portés à la connaissance du public. | |
Amendement 267 Proposition de règlement Article 34 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Autorisation et consultation préalables |
Consultation préalable |
Justification | |
Cohérence interne avec les objectifs énoncés au considérant 70. | |
Amendement 268 Proposition de règlement Article 34 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale. |
supprimé |
Justification | |
Prior authorization or consultation with supervisory authorities will lead to a misallocation of privacy resources and place a significant burden on already overextended supervisory authorities, create significant, inevitable delays in the rollout of new products and services, and generally disincentivise the creation of effective corporate privacy programmes. Requiring enterprises that have invested in these internal programmes to submit to compulsory consultation with the supervisory authority will have an adverse impact on their ability to develop and release to the market new products and services which benefit consumers and the economy. | |
Amendement 269 Proposition de règlement Article 34 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées: |
2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement peuvent consulter l'autorité de contrôle avant le traitement de catégories particulières de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées: |
Amendement 270 Proposition de règlement Article 34 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4. |
b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités. |
Justification | |
Voir la justification de la suppression du paragraphe 4. | |
Amendement 271 Proposition de règlement Article 34 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsque l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité. |
3. Lorsque l'autorité de contrôle compétente détermine, en vertu du pouvoir dont elle dispose, que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité. Une telle décision est susceptible de recours devant un tribunal compétent. Ce recours peut être suspensif, à moins que le traitement ne fasse subir un préjudice grave et immédiat aux personnes concernées. |
Amendement 272 Proposition de règlement Article 34 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. L'autorité de contrôle établit et publie une liste des traitements devant faire l'objet d'une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données. |
supprimé |
Justification | |
Cette disposition entraîne une trop grande complexité administrative pour permettre une mise en œuvre efficace, notamment compte tenu de la nécessité de disposer d'un règlement à l'épreuve du temps et non spécifique à un secteur. | |
Amendement 273 Proposition de règlement Article 34 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d'adopter la liste. |
5. Si les traitements sont liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l'observation de leur comportement, ou s'ils sont susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57. |
Justification | |
Cet amendement concentre le mécanisme de contrôle de la cohérence sur le secteur où il est le plus approprié, conformément aux modifications apportées à l'article 58, paragraphe 2. | |
Amendement 274 Proposition de règlement Article 34 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Le responsable du traitement ou le sous-traitant fournissent à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l'article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent. |
6. Le responsable du traitement fournit à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l'article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent. |
Justification | |
Afin d'assurer la sécurité juridique et de garantir une meilleure exécution de la part des autorités de contrôle, et conformément au considérant 62 qui exige "une répartition claire des responsabilités au titre du présent règlement", la consultation et l'autorisation préalables de l'autorité de contrôle devraient relever de la compétence exclusive du responsable du traitement. Le cadre est ainsi bien plus clair pour les entreprises comme pour les autorités de contrôle. | |
Amendement 275 Proposition de règlement Article 34 – paragraphe 8 | |
|
Texte proposé par la Commission |
Amendement |
|
8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a). |
supprimé |
Amendement 276 Proposition de règlement Article 34 – paragraphe 9 | |
|
Texte proposé par la Commission |
Amendement |
|
9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
9. La Commission peut élaborer des formulaires et procédures types pour les consultations préalables visées au paragraphe 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Amendement 277 Proposition de règlement Article 35 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque: |
1. Le responsable du traitement et le sous-traitant désignent systématiquement un organisme de protection des données ou un délégué à la protection des données lorsque: |
Amendement 278 Proposition de règlement Article 35 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées. |
c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées. Les activités de base sont définies comme des activités pour lesquelles 50 % du chiffre d'affaires annuel résultent de la vente de données ou de recettes provenant de ces données. En ce qui concerne la protection des données, les activités de traitement des données qui ne représentent pas plus de 50 % du chiffre d'affaires de l'entreprise sont considérées comme des activités accessoires. |
Justification | |
La désignation d'un délégué à la protection des données ne devrait être jugée nécessaire que lorsque les activités de base d'une entreprise sont liées au traitement des données personnelles. | |
Amendement 279 Proposition de règlement Article 35 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics. |
3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, l'organisme de protection des données ou le délégué à la protection des données peuvent être désignés pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics. |
Amendement 280 Proposition de règlement Article 35 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
5. Le responsable du traitement ou le sous-traitant peuvent désigner le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
Amendement 281 Proposition de règlement Article 35 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts. |
6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles de l'organisme de protection des données ou du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts. |
Amendement 282 Proposition de règlement Article 35 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci. |
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. |
Justification | |
Il devrait être possible de démettre le délégué à la protection des données de ses fonctions, comme tout autre membre du personnel, s'il n'accomplit pas les tâches qui lui sont confiées par la direction. C'est à la direction qu'il appartient de décider si la personne engagée donne satisfaction. | |
Amendement 283 Proposition de règlement Article 35 – paragraphe 10 | |
|
Texte proposé par la Commission |
Amendement |
|
10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement. |
10. Les personnes concernées ont le droit de prendre contact avec l'organisme de protection des données ou le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement. |
Amendement 284 Proposition de règlement Article 35 – paragraphe 11 | |
|
Texte proposé par la Commission |
Amendement |
|
11. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5. |
supprimé |
Amendement 285 Proposition de règlement Article 36 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. |
1. L'instance dirigeante du responsable du traitement ou du sous-traitant aide l'organisme de protection des données ou le délégué à la protection des données à exercer ses missions et fournit le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 37. |
Amendement 286 Proposition de règlement Article 36 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction du responsable du traitement ou du sous-traitant. |
2. L'organisme de protection des données ou le délégué à la protection des données accomplit ses missions et obligations en toute indépendance et fait directement rapport à la direction du responsable du traitement ou du sous-traitant. |
Amendement 287 Proposition de règlement Article 36 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 37. |
3. Le responsable du traitement ou le sous-traitant aident l'organisme de protection des données ou le délégué à la protection des données à exercer ses missions et fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 37. |
Amendement 288 Proposition de règlement Article 37 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes: |
1. Le responsable du traitement ou le sous-traitant confient à l'organisme de protection des données ou au délégué à la protection des données au moins les missions suivantes: |
Amendement 289 Proposition de règlement Article 37 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement et conserver une trace documentaire de cette activité et des réponses reçues; |
a) sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement et conserver une trace documentaire de cette activité et des réponses reçues; |
Amendement 290 Proposition de règlement Article 37 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l'examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement; |
c) contrôler le respect du présent règlement; |
Amendement 291 Proposition de règlement Article 37 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) contrôler la documentation, la notification et la communication, prévues aux articles 31 et 32, et relatives aux violations de données à caractère personnel; |
e) établir des procédures visant à contrôler, consigner, notifier et communiquer les violations de données à caractère personnel conformément aux articles 31 et 32; |
Amendement 292 Proposition de règlement Article 37 – paragraphe 1 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) vérifier que le responsable du traitement ou le sous-traitant a réalisé l'analyse d'impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises au titre des articles 33 et 34; |
f) établir des procédures visant à vérifier que le responsable du traitement ou le sous-traitant a réalisé l'analyse d'impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises au titre des articles 33 et 34; |
Amendement 293 Proposition de règlement Article 37 – paragraphe 1 – point f bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f bis) veiller à ce qu'il existe des mécanismes de responsabilité, tels qu'ils sont définis à l'article 22, paragraphe 2, points c) à e quinquies); |
Justification | |
Précision du rôle central du délégué à la protection des données dans la chaîne de responsabilité vis-à-vis de la direction générale. | |
Amendement 294 Proposition de règlement Article 37 – paragraphe 1 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) vérifier qu'il a été répondu aux demandes de l'autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l'autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données; |
g) apporter son assistance pour répondre aux demandes de l'autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l'autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données; |
Amendement 295 Proposition de règlement Article 39 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements. |
1. Les États membres et la Commission collaborent avec les responsables du traitement, les sous-traitants et les autres parties prenantes afin d'encourager, en particulier au niveau européen, la mise en place de mécanismes de certification ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées et aux autorités des États membres d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements. |
Justification | |
Cet amendement encourage et permet la création d'un système dans lequel les autorités de réglementation agréent des évaluateurs indépendants pour des évaluations globales d'entreprises ou des évaluations spécifiques de produits ou de technologies. | |
Amendement 296 Proposition de règlement Article 39 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Les mécanismes de certification en matière de protection des données sont volontaires, abordables et accessibles au moyen d'un processus transparent et sans lourdeur excessive. En outre, ils respectent la neutralité technologique, sont susceptibles d'être appliqués universellement et contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements. |
Justification | |
Les mécanismes de certification devraient être conçus pour être efficaces sans être trop bureaucratiques ou compliqués. | |
Amendement 297 Proposition de règlement Article 39 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1, y compris les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l'Union et dans les pays tiers. |
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1, y compris les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l'Union et dans les pays tiers, à condition que ces mesures respectent la neutralité technologique. |
Amendement 298 Proposition de règlement Article 39 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 299 Proposition de règlement Article 41 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées; |
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, ainsi que l'application de cette législation, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées; |
Amendement 300 Proposition de règlement Article 41 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. Si la surveillance de toute autre source donne à la Commission des raisons de penser qu'un pays ou une organisation internationale concernés par une décision adoptée au titre du paragraphe 3 n'apportent plus un niveau adéquat de protection au sens du paragraphe 2, la Commission réexamine cette décision. |
Amendement 301 Proposition de règlement Article 42 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant. |
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41 ou lorsqu'elle décide qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données conformément au paragraphe 5 dudit article, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale qui transfère des données dans un contexte international n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant et si ce responsable ou ce sous-traitant s'est assuré, le cas échéant sur la base d'une analyse d'impact, que le destinataire des données dans le pays tiers applique des normes élevées en matière de protection des données. |
|
|
Ces garanties assurent au moins le respect des principes concernant le traitement des données personnelles conformément à l'article 5 et le respect des droits des personnes concernées conformément au chapitre III. |
Amendement 302 Proposition de règlement Article 42 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2; ou |
b) des clauses types de protection des données, entre le responsable du traitement ou le sous-traitant et le destinataire des données (qui peut être un sous-traitant ultérieur) situé hors de l'Espace économique européen (EEE), qui peuvent comprendre des clauses types en matière de transferts ultérieurs à un bénéficiaire situé hors de l'EEE, adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2; ou |
Justification | |
Il s'agit d'un ajout important pour clarifier la relation entre les responsables du traitement, les sous-traitants et les sous-traitants ultérieurs dans le cadre des transferts internationaux de données. | |
Amendement 303 Proposition de règlement Article 42 – paragraphe 2 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b); ou |
c) des clauses types de protection des données, entre le responsable du traitement ou le sous-traitant et le destinataire des données (qui peut être un sous-traitant ultérieur) situé hors de l'EEE, qui peuvent comprendre des clauses types en matière de transferts ultérieurs à un bénéficiaire situé hors de l'EEE, adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b); ou |
Justification | |
Il s'agit d'un ajout important pour clarifier la relation entre les responsables du traitement, les sous-traitants et les sous-traitants ultérieurs dans le cadre des transferts internationaux de données. | |
Amendement 304 Proposition de règlement Article 42 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4. |
d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4; ou |
Amendement 305 Proposition de règlement Article 42 – paragraphe 2 – point d bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d bis) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le bénéficiaire des données qui s'ajoutent aux clauses types de protection des données visées aux points b) et c) du présent paragraphe et qui sont autorisées par l'autorité de contrôle compétente conformément au paragraphe 4; |
Justification | |
Cet amendement inciterait les organisations à aller au-delà des exigences réglementaires de base pour se conformer à des régimes tels qu'une "marque de protection des données" ou un "label de confiance". | |
Amendement 306 Proposition de règlement Article 42 – paragraphe 2 – point d ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d ter) à des fins historiques, statistiques ou scientifiques, les mesures visées à l'article 83, paragraphe 4. |
Amendement 307 Proposition de règlement Article 42 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Un transfert effectué en vertu de clauses types de protection des données ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), b) ou c), ne nécessite pas d'autre autorisation. |
3. Un transfert effectué en vertu du paragraphe 2, points a), b), c) ou e), ne nécessite pas d'autre autorisation. |
Justification | |
Un transfert, à des fins de recherches, de données codées qui ne peuvent être et ne seront pas à nouveau identifiées par des bénéficiaires situés dans des pays tiers devrait être autorisé sans charge administrative supplémentaire. | |
Amendement 308 Proposition de règlement Article 42 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l'autorité de contrôle conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l'Union, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57. |
4. Le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l'autorité de contrôle compétente conformément à l'article 34, paragraphe 1, point a), pour effectuer des transferts en vertu du présent article. Si le transfert est lié à un traitement qui affecte sensiblement la libre circulation des données à caractère personnel dans l'Union, l'autorité de contrôle compétente applique le mécanisme de contrôle de la cohérence prévu à l'article 57. |
Amendement 309 Proposition de règlement Article 42 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. Un responsable du traitement ou un sous-traitant peuvent choisir de fonder les transferts sur les clauses types de protection des données visées aux points b) et c) du paragraphe 2, et de proposer, outre ces clauses types, des engagements juridiquement contraignants complémentaires applicables aux données transférées. Dans de tels cas, ces engagements complémentaires font l'objet d'une concertation préalable avec l'autorité de contrôle compétente et ils complètent les clauses types sans les contredire, directement ou indirectement. Les États membres, les autorités de contrôle et la Commission encouragent l'utilisation d'engagements complémentaires et juridiquement contraignants en proposant une marque, un label ou un mécanisme de protection des données, adopté conformément à l'article 39, aux responsables du traitement et aux sous-traitants qui adoptent ces garanties renforcées. |
Justification | |
Les responsables du traitement et les sous-traitants disposent souvent d'une expérience directe et pratique qui démontre que des garanties supplémentaires peuvent être utiles au regard des données personnelles qu'ils transfèrent. Le règlement devrait encourager ces responsables du traitement et ces sous-traitants à proposer des garanties complémentaires lorsque celles-ci sont utiles. Ces engagements complémentaires ne doivent pas contredire les clauses types. | |
Amendement 310 Proposition de règlement Article 42 – paragraphe 4 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 ter. Afin d'encourager le recours aux clauses contractuelles complémentaires visées au paragraphe 2, point e), du présent article, les autorités compétentes peuvent proposer une marque, un label ou un mécanisme de protection des données, adoptés conformément à l'article 39, aux responsables du traitement et aux sous-traitants qui adoptent ces garanties. |
Justification | |
Cet amendement vise à encourager l'utilisation de marques de protection des données ou de labels de confiance complémentaires. | |
Amendement 311 Proposition de règlement Article 43 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Une autorité de contrôle approuve des règles d'entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition: |
1. L'autorité de contrôle compétente autorise des règles d'entreprise contraignantes pour un groupe d'entreprises au moyen d'un acte d'approbation unique. Ces règles permettront de multiples transferts internationaux interentreprises à l'intérieur et à l'extérieur de l'Europe, à condition: |
Amendement 312 Proposition de règlement Article 43 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d'entreprises du responsable du traitement ou du sous-traitant, y compris à leurs salariés, et que lesdites entités en assurent le respect; |
a) qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d'entreprises du responsable du traitement ou du sous-traitant et à leurs sous-traitants externes, y compris à leurs salariés, et que lesdites entités en assurent le respect; |
Justification | |
Dans le domaine des services informatiques en nuage, les prestataires de services font souvent appel à des sous-traitants externes qui accomplissent une tâche spécifique afin d'offrir un service et une maintenance vingt-quatre heures sur vingt-quatre, sept jours sur sept. L'autorité de contrôle devrait dès lors tenir compte de ce fait dans les règles d'entreprise contraignantes. | |
Amendement 313 Proposition de règlement Article 43 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) qu'elles confèrent expressément aux personnes concernées des droits opposables; |
b) qu'elles confèrent expressément aux personnes concernées des droits opposables et qu'elles soient transparentes pour elles; |
Amendement 314 Proposition de règlement Article 43 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent; |
a) la structure et les coordonnées du groupe d'entreprises et des entités qui le composent, et de leurs sous-traitants externes; |
Amendement 315 Proposition de règlement Article 43 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. |
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, y compris la transparence pour les personnes concernées, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous-traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question. |
Amendement 316 Proposition de règlement Article 44 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Dérogations |
Autres fondements légitimes des transferts internationaux |
Amendement 317 Proposition de règlement Article 44 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. En l'absence d'une décision relative au caractère adéquat du niveau de protection conformément à l'article 41 ou de garanties appropriées conformément à l'article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que: |
1. En l'absence d'une décision relative au caractère adéquat du niveau de protection conformément à l'article 41 ou lorsque la Commission constate par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, n'assure pas un niveau de protection adéquat au sens du paragraphe 5 de l'article 41, ou encore en l'absence de garanties appropriées conformément à l'article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que: |
Amendement 318 Proposition de règlement Article 44 – paragraphe 1 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous-traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif et que le responsable du traitement ou le sous-traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu. |
h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous-traitant et que le responsable du traitement ou le sous-traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu. |
Justification | |
Dans notre société actuelle qui repose sur les données, rien ne justifie que les transferts fréquents ou massifs soient exclus, dans la mesure où cette décision ne reflète pas les réalités des flux de données et irait dès lors à l'encontre de l'objectif qui consiste à assurer une libre circulation des données. | |
Amendement 319 Proposition de règlement Article 44 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement. |
5. L'intérêt général visé au paragraphe 1, point d), doit être reconnu par des conventions internationales, par le droit de l'Union ou par le droit de l'État membre dont relève le responsable du traitement. Cette dérogation n'est utilisée que pour des transferts occasionnels. Dans chaque cas particulier, une analyse minutieuse de toutes les circonstances du transfert doit être effectuée. |
Amendement 320 Proposition de règlement Article 44 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Le responsable du traitement ou le sous-traitant atteste la matérialité, dans la documentation visée à l'article 28, de l'évaluation et des garanties appropriées offertes visées au paragraphe 1, point h), et informe l'autorité de contrôle du transfert. |
supprimé |
Amendement 321 Proposition de règlement Article 44 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les «motifs importants d'intérêt général» au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues au paragraphe 1, point h). |
supprimé |
Amendement 322 Proposition de règlement Article 46 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application du présent règlement et de contribuer à son application cohérente dans l'ensemble de l'Union, afin de protéger les libertés et droits fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission. |
1. Chaque État membre prévoit qu'une autorité publique de contrôle soit chargée, en tant que chef de file, de surveiller l'application du présent règlement et de contribuer à son application cohérente dans l'ensemble de l'Union, afin de protéger les libertés et droits fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission. |
Justification | |
Une autorité publique de contrôle devrait clairement être désignée en tant que chef de file afin de rationaliser la mise en œuvre d'un véritable guichet unique. | |
Amendement 323 Proposition de règlement Article 46 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l'article 79, paragraphes 4, 5 et 6. Les autorités de contrôle ne peuvent imposer des sanctions qu'aux responsables du traitement ou aux sous-traitants dont l'établissement principal se situe dans le même État membre ou en coordination conformément aux articles 56 et 57 si l'autorité de contrôle de l'établissement principal ne prend pas de mesures. |
Justification | |
Cet amendement précise et souligne le rôle des autorités de contrôle en ce qui concerne les sanctions. | |
Amendement 324 Proposition de règlement Article 47 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. L'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés. |
1. L'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés, sans préjudice des dispositions relatives à la coopération et à la cohérence visées au chapitre VII. |
Justification | |
Il convient de tenir dûment compte des obligations des autorités de contrôle les unes à l'égard des autres au titre du mécanisme de contrôle de la cohérence. | |
Amendement 325 Proposition de règlement Article 48 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque État membre prévoit que les membres de l'autorité de contrôle doivent être nommés soit par son parlement, soit par son gouvernement. |
1. Chaque État membre prévoit que les membres de l'autorité de contrôle doivent être nommés par son parlement. |
Amendement 326 Proposition de règlement Article 51 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l'Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement. |
2. Lorsque le présent règlement s'applique en vertu de l'article 3, paragraphe 1, l'autorité de contrôle compétente est celle de l'État membre ou du territoire où se situe l'établissement principal du responsable du traitement ou du sous-traitant soumis au règlement. Les litiges sont tranchés conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, et cela sans préjudice des autres dispositions du chapitre VII du présent règlement. |
Amendement 327 Proposition de règlement Article 51 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Lorsque le présent règlement s'applique en vertu de l'article 3, paragraphe 2, l'autorité de contrôle compétente est celle de l'État membre ou du territoire de l'Union où le sous-traitant a désigné un représentant conformément à l'article 25. |
Amendement 328 Proposition de règlement Article 51 – paragraphe 2 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 ter. Lorsque le présent règlement s'applique à plusieurs responsables du traitement et/ou sous-traitants au sein du même groupe d'entreprises, en vertu à la fois des paragraphes 1 et 2 de l'article 3, une seule autorité de contrôle, déterminée conformément à l'article 51, paragraphe 2, est compétente. |
Amendement 329 Proposition de règlement Article 52 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres. |
3. L'autorité de contrôle compétente, sur demande, conseille toute personne concernée dans l'exercice des droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres. |
Amendement 330 Proposition de règlement Article 53 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque autorité de contrôle a le pouvoir: |
1. L'autorité de contrôle compétente a le pouvoir: |
Amendement 331 Proposition de règlement Article 53 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) de veiller au respect des autorisations et consultations préalables prévues à l'article 34; |
d) de veiller au respect des consultations préalables prévues à l'article 34; |
Amendement 332 Proposition de règlement Article 53 – paragraphe 1 – point j bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
j bis) d'informer le responsable du traitement ou le sous-traitant ou les deux des recours juridictionnels disponibles contre ses décisions. |
Justification | |
Les dispositions sur les pouvoirs des autorités de contrôle à l'égard des responsables du traitement et/ou des sous-traitants devraient être complétées par des garanties juridiques explicites pour ces responsables et sous-traitants. | |
Amendement 333 Proposition de règlement Article 53 – paragraphe 2 – alinéa 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant: |
2. L'autorité de contrôle compétente dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant: |
Amendement 334 Proposition de règlement Article 53 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2. |
3. L'autorité de contrôle compétente a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2. |
Amendement 335 Proposition de règlement Article 53 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l'article 79, paragraphes 4, 5 et 6. |
4. L'autorité de contrôle compétente a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l'article 79, paragraphes 4, 5 et 6. |
Amendement 336 Proposition de règlement Article 55 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements. |
1. Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de produire des effets juridiques au détriment des personnes concernées. |
Amendement 337 Proposition de règlement Article 55 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d'une autre autorité de contrôle, sans délai et au plus tard un mois après la réception de la demande. Il peut s'agir, notamment, de la transmission d'informations utiles sur le déroulement d'une enquête ou de mesures répressives visant à faire cesser ou à interdire les traitements contraires au présent règlement. |
2. Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d'une autre autorité de contrôle, sans délai et au plus tard un mois après la réception de la demande. Il peut s'agir, notamment, de la transmission d'informations utiles sur le déroulement d'une enquête ou de mesures répressives visant à faire cesser ou à interdire les traitements qui se sont avérés contraires au présent règlement. |
Amendement 338 Proposition de règlement Article 56 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Les autorités de contrôle définissent les modalités pratiques des actions de coopération particulières. |
4. Les autorités de contrôle définissent les modalités pratiques des actions de coopération particulières dans leur règlement intérieur, lequel est publié au Journal officiel de l'Union européenne. |
Amendement 339 Proposition de règlement Article 58 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission. |
1. Avant d'adopter une mesure visée au paragraphe 2, l'autorité de contrôle compétente communique le projet de mesure au comité européen de la protection des données et à la Commission. |
Amendement 340 Proposition de règlement Article 58 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) se rapporte aux traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l'observation de leur comportement; ou |
a) se rapporte aux traitements de données personnelles liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres, lorsque le responsable du traitement ou le sous-traitant extérieurs à l'EEE ne désignent aucun représentant sur le territoire de l'EEE; ou |
Justification | |
Cet amendement devrait inciter les entreprises de pays non membres de l'Union européenne à désigner un représentant sur le territoire de celle-ci. Il ne devrait y avoir aucune discrimination à l'égard des entreprises de pays tiers qui sont établies dans l'Union. | |
Amendement 341 Proposition de règlement Article 58 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) est susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l'Union; ou |
supprimé |
Amendement 342 Proposition de règlement Article 58 – paragraphe 2 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) vise à l'adoption d'une liste des traitements devant faire l'objet d'une consultation préalable conformément à l'article 34, paragraphe 5, ou |
supprimé |
Justification | |
Voir les amendements apportés à l'article 34 en matière de consultation préalable: l'obligation d'élaborer des listes et de les soumettre au mécanisme de contrôle de la cohérence est trop bureaucratique et contraire à l'innovation. | |
Amendement 343 Proposition de règlement Article 58 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) vise à la détermination de clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c), ou |
supprimé |
Amendement 344 Proposition de règlement Article 58 – paragraphe 2 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) vise à l'autorisation de clauses contractuelles telles que celles visées à l'article 42, paragraphe 2, point d), ou |
supprimé |
Amendement 345 Proposition de règlement Article 58 – paragraphe 2 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) vise à l'approbation de règles d'entreprise contraignantes au sens de l'article 43. |
supprimé |
Justification | |
Les autorités de contrôle devraient être compétentes, en vertu de l'effet direct du règlement, pour élaborer des règles d'entreprise contraignantes sans devoir les soumettre au mécanisme de contrôle de la cohérence. | |
Amendement 346 Proposition de règlement Article 58 – paragraphe 2 – point f bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f bis) autorise le traitement des données à des fins de recherche conformément à l'article 81, paragraphe 3, et/ou à l'article 83, paragraphe 3. |
Amendement 347 Proposition de règlement Article 58 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56. |
3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsque l'autorité compétente omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56. |
Amendement 348 Proposition de règlement Article 58 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question soit examinée dans le cadre du mécanisme de contrôle de la cohérence. |
4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut, en agissant pour son propre compte, et doit, à la demande d'une partie prenante, demander que toute question soit examinée dans le cadre du mécanisme de contrôle de la cohérence. |
Justification | |
Lorsque des incohérences concernant l'application du règlement menacent sa mise en œuvre harmonisée et affectent certaines parties prenantes, ces dernières devraient être autorisées à exprimer leurs préoccupations dans le cadre du mécanisme de contrôle de la cohérence. | |
Amendement 349 Proposition de règlement Article 58 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Le président du comité européen de la protection des données transmet sans délai aux membres du comité européen de la protection des données et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le président du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles. |
6. Le président du comité européen de la protection des données transmet sans retard injustifié aux membres de ce comité et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Il fournit, si nécessaire, des traductions de ces informations utiles. |
Amendement 350 Proposition de règlement Article 58 – paragraphe 8 | |
|
Texte proposé par la Commission |
Amendement |
|
8. L'autorité de contrôle visée au paragraphe 1 et l'autorité de contrôle compétente en vertu de l'article 51 tiennent compte de l'avis du comité européen de la protection des données et communiquent par voie électronique au président du conseil européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elles maintiennent ou modifient le projet de mesure, et, le cas échéant, communiquent le projet de mesure modifié, au moyen d'un formulaire type. |
8. L'autorité de contrôle compétente visée au paragraphe 1 tient compte de l'avis du comité européen de la protection des données et indique par voie électronique au président de ce comité et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elle maintient ou modifie le projet de mesure, et, le cas échéant, communique le projet de mesure modifié, au moyen d'un formulaire type. |
Amendement 351 Proposition de règlement Article 61 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission. |
1. Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs, elle peut, par dérogation à la procédure prévue à l'article 58, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. Cette autorité de contrôle communique sans délai ces mesures, dûment motivées, à l'autorité de contrôle compétente, au comité européen de la protection des données, à la Commission et au responsable du traitement ou au sous-traitant. |
Amendement 352 Proposition de règlement Article 61 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsqu'une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d'urgence, elle peut demander un avis d'urgence du comité européen de la protection des données, en motivant sa demande, et notamment l'urgence d'adopter des mesures définitives. |
2. Lorsqu'une autorité de contrôle a pris une mesure en vertu du paragraphe 1, elle demande un avis d'urgence du comité européen de la protection des données, en motivant sa demande, et notamment concernant l'urgence d'adopter des mesures définitives. |
Amendement 353 Proposition de règlement Article 62 – paragraphe 1 – alinéa 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) statuer sur l'application correcte du présent règlement conformément à ses objectifs et exigences quant aux questions soulevées par les autorités de contrôle conformément à l'article 58 ou à l'article 61, quant à une question au sujet de laquelle une décision motivée a été adoptée en vertu de l'article 60, paragraphe 1, ou quant à une affaire dans laquelle une autorité de contrôle omet de soumettre pour examen un projet de mesure et a indiqué qu'elle n'entendait pas se conformer à l'avis de la Commission adopté en vertu de l'article 59; |
supprimé |
Amendement 354 Proposition de règlement Article 66 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le comité européen de la protection des données veille à l'application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande de la Commission, a notamment pour mission: |
1. Le comité européen de la protection des données veille à l'application cohérente du présent règlement. À cet effet, il a notamment pour mission, de sa propre initiative, à la demande de la Commission ou à la demande d'autres parties prenantes: |
Amendement 355 Proposition de règlement Article 66 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification du présent règlement; |
a) de conseiller les institutions européennes sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification du présent règlement; |
Amendement 356 Proposition de règlement Article 66 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement; |
b) d'examiner, de sa propre initiative ou à la demande de l'un de ses membres, de la Commission ou d'autres parties prenantes, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement; |
Amendement 357 Proposition de règlement Article 66 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. Le cas échéant, dans le cadre de l'exécution des missions définies dans le présent article, le comité européen de la protection des données consulte les parties intéressées et leur donne la possibilité de formuler des commentaires dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 72. |
Justification | |
Avant d'adopter des avis et des rapports, le comité devrait consulter les parties intéressées et leur donner la possibilité de formuler des commentaires dans un délai raisonnable, comme c'est le cas dans d'autres domaines réglementaires. | |
Amendement 358 Proposition de règlement Article 68 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le comité européen de la protection des données établit son règlement intérieur et détermine ses modalités de fonctionnement. Il adopte notamment des dispositions relatives à la poursuite de l'exercice des fonctions lorsque le mandat d'un membre expire ou en cas de démission d'un membre, à la création de sous-groupes sur des sujets ou pour des secteurs spécifiques et aux procédures qu'il applique en ce qui concerne le mécanisme de contrôle de la cohérence visé à l'article 57. |
2. Le comité européen de la protection des données établit son règlement intérieur et détermine ses modalités de fonctionnement. Il adopte notamment des dispositions relatives à la poursuite de l'exercice des fonctions lorsque le mandat d'un membre expire ou en cas de démission d'un membre, à la création de sous-groupes sur des sujets ou pour des secteurs spécifiques et aux procédures qu'il applique en ce qui concerne le mécanisme de contrôle de la cohérence visé à l'article 57 et les garanties juridiques applicables aux responsables du traitement ou aux sous-traitants concernés. |
Justification | |
Il n'existe aucune garantie juridique pour les responsables du traitement ou les sous-traitants concernés. | |
Amendement 359 Proposition de règlement Article 69 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le président et les vice-présidents sont élus pour un mandat de cinq ans renouvelable. |
2. Le président et les vice-présidents sont élus pour un mandat de cinq ans renouvelable. Ils peuvent être révoqués par une décision du Parlement européen adoptée à la majorité des deux tiers des suffrages exprimés et à la majorité des membres qui le composent. |
Amendement 360 Proposition de règlement Article 73 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l'égard de la protection de leurs données à caractère personnel et qui a été valablement constitué conformément au droit d'un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d'une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel. |
2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l'égard de la protection de leurs données à caractère personnel et qui a été valablement constitué conformément au droit d'un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d'une ou de plusieurs personnes concernées faisant partie de ses membres s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel et s'il dispose d'une dotation financière minimale de 80 000 euros ainsi que de membres représentatifs organisés selon une structure correspondante. |
Justification | |
Une dotation financière minimale et des membres représentatifs sont nécessaires pour garantir que l'instrument du recours collectif ne soit pas utilisé de manière abusive et que cela n'entraîne pas la création d'associations ayant pour seul but de former des recours, ainsi que pour garantir une couverture minimale des frais d'avocats et de justice. | |
Amendement 361 Proposition de règlement Article 75 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Une action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l'État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique agissant dans l'exercice de ses prérogatives de puissance publique. |
2. Une action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l'État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique agissant dans l'exercice de ses prérogatives de puissance publique. Cette dérogation ne s'applique pas aux autorités publiques des pays tiers. |
Amendement 362 Proposition de règlement Article 76 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Tout organisme, organisation ou association visé à l'article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et 75 au nom d'une ou de plusieurs personnes concernées. |
1. Tout organisme, organisation ou association visé à l'article 73, paragraphe 2, est habilité à exercer les droits prévus à l'article 74 au nom d'une ou de plusieurs personnes concernées. Les réparations visées à l'article 77 ne peuvent pas être demandées par les organismes, les organisations ou les associations au sens de l'article 73, paragraphe 2. |
Amendement 363 Proposition de règlement Article 77 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. |
1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement réparation du préjudice subi. |
Amendement 364 Proposition de règlement Article 77 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage. |
2. Lorsque plusieurs responsables du traitement ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage dans la mesure où la responsabilité respective des responsables conjoints du traitement n'a pas été déterminée dans l'accord mentionné à l'article 24. Dans le cas d'un groupe d'entreprises, l'ensemble du groupe est responsable en tant qu'entité économique unique. |
Amendement 365 Proposition de règlement Article 77 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le responsable du traitement ou le sous-traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. |
3. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. |
Amendement 366 Proposition de règlement Article 79 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
1. L'autorité de contrôle compétente est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
Amendement 367 Proposition de règlement Article 79 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l'autorité de contrôle en vue de remédier à la violation. |
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, de la sensibilité des données concernées, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de préjudice causé par la violation, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l'autorité de contrôle en vue de remédier à la violation. Si, dans le cadre de l'imposition de ces sanctions, un certain pouvoir de discrétion est accordé pour tenir compte des circonstances exposées ci-dessus et d'autres faits spécifiques à la situation, les divergences dans l'application des sanctions administratives peuvent faire l'objet d'un examen, conformément au mécanisme de contrôle de la cohérence. Le cas échéant, l'autorité chargée de la protection des données est aussi habilitée à exiger qu'un délégué à la protection des données soit désigné si l'organisme, l'organisation ou l'association a choisi de ne pas le faire. |
Amendement 368 Proposition de règlement Article 79 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Les circonstances aggravantes qui jouent dans le sens d'amendes administratives correspondant aux limites supérieures établies aux paragraphes 4 et 6 comprennent notamment: |
|
|
i) les violations répétées commises dans le mépris total du droit applicable; |
|
|
ii) le refus de coopérer dans le cadre d'une procédure d'exécution forcée ou l'entrave à cette dernière; |
|
|
iii) les violations qui sont délibérées, graves et susceptibles de causer des dommages substantiels; |
|
|
iv) le fait qu'aucune analyse d'impact relative à la protection des données n'a été réalisée; |
|
|
v) le fait qu'aucun délégué à la protection des données n'a été désigné. |
Amendement 369 Proposition de règlement Article 79 – paragraphe 2 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 ter. Les circonstances atténuantes qui jouent dans le sens d'amendes administratives correspondant aux limites inférieures établies aux paragraphes 4 et 6 comportent notamment: |
|
|
i) les mesures prises par la personne physique ou morale pour assurer le respect des obligations pertinentes; |
|
|
ii) une véritable incertitude quant à savoir si l'activité était constitutive d'une violation des obligations pertinentes; |
|
|
iii) la cessation immédiate de la violation dès que la personne physique ou morale a appris qu'il s'agissait d'une infraction; |
|
|
iv) la coopération dans le cadre de toute procédure d'exécution forcée; |
|
|
v) le fait qu'une analyse d'impact relative à la protection des données a été menée; |
|
|
vi) le fait qu'un délégué à la protection des données a été désigné. |
Amendement 370 Proposition de règlement Article 79 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction: |
3. L'autorité de contrôle peut donner un avertissement par écrit sans imposer de sanction. Elle peut infliger une amende pouvant s'élever à un million d'euros en cas de violations répétées et délibérées, ou, dans le cas d'une entreprise, à 1 % de son chiffre d'affaires annuel mondial. |
|
a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou |
|
|
b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. |
|
Justification | |
Il faut conserver le montant de l'amende maximale qui peut être infligée par une autorité de contrôle, à savoir un million d'euros et, pour les entreprises, 1 % de leur chiffre d'affaires annuel mondial. Toutefois, il faut maintenir l'indépendance des autorités de contrôle consacrée à l'article 8, paragraphe 3, de la charte des droits fondamentaux de l'Union européenne. En outre, le mécanisme de contrôle de la cohérence et notamment l'article 58, paragraphes 3 et 4, peut contribuer à une politique harmonisée dans l'Union en matière de sanctions administratives. | |
Amendement 371 Proposition de règlement Article 79 – paragraphe 4 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
Amendement 372 Proposition de règlement Article 79 – paragraphe 4 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; |
supprimé |
Amendement 373 Proposition de règlement Article 79 – paragraphe 4 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l'article 12, paragraphe 4. |
supprimé |
Amendement 374 Proposition de règlement Article 79 – paragraphe 5 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
Amendement 375 Proposition de règlement Article 79 – paragraphe 5 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; |
supprimé |
Amendement 376 Proposition de règlement Article 79 – paragraphe 5 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; |
supprimé |
Amendement 377 Proposition de règlement Article 79 – paragraphe 5 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l'effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. |
supprimé |
Amendement 378 Proposition de règlement Article 79 – paragraphe 5 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l'article 18; |
supprimé |
Amendement 379 Proposition de règlement Article 79 – paragraphe 5 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; |
supprimé |
Amendement 380 Proposition de règlement Article 79 – paragraphe 5 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; |
supprimé |
Amendement 381 Proposition de règlement Article 79 – paragraphe 5 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d'expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. |
supprimé |
Amendement 382 Proposition de règlement Article 79 – paragraphe 6 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
Amendement 383 Proposition de règlement Article 79 – paragraphe 6 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; |
supprimé |
Amendement 384 Proposition de règlement Article 79 – paragraphe 6 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) traite des catégories particulières de données en violation des articles 9 et 81; |
supprimé |
Amendement 385 Proposition de règlement Article 79 – paragraphe 6 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l'article 19; |
supprimé |
Amendement 386 Proposition de règlement Article 79 – paragraphe 6 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; |
supprimé |
Amendement 387 Proposition de règlement Article 79 – paragraphe 6 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; |
supprimé |
Amendement 388 Proposition de règlement Article 79 – paragraphe 6 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) omet de désigner un représentant conformément à l'article 25; |
supprimé |
Amendement 389 Proposition de règlement Article 79 – paragraphe 6 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; |
supprimé |
Amendement 390 Proposition de règlement Article 79 – paragraphe 6 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; |
supprimé |
Amendement 391 Proposition de règlement Article 79 – paragraphe 6 – point i | |
|
Texte proposé par la Commission |
Amendement |
|
i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; |
supprimé |
Amendement 392 Proposition de règlement Article 79 – paragraphe 6 – point j | |
|
Texte proposé par la Commission |
Amendement |
|
j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; |
supprimé |
Amendement 393 Proposition de règlement Article 79 – paragraphe 6 – point k | |
|
Texte proposé par la Commission |
Amendement |
|
k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; |
supprimé |
Amendement 394 Proposition de règlement Article 79 – paragraphe 6 – point l | |
|
Texte proposé par la Commission |
Amendement |
|
l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; |
supprimé |
Amendement 395 Proposition de règlement Article 79 – paragraphe 6 – point m | |
|
Texte proposé par la Commission |
Amendement |
|
m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; |
supprimé |
Amendement 396 Proposition de règlement Article 79 – paragraphe 6 – point n | |
|
Texte proposé par la Commission |
Amendement |
|
n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; |
supprimé |
Amendement 397 Proposition de règlement Article 79 – paragraphe 6 – point o | |
|
Texte proposé par la Commission |
Amendement |
|
ou ne respecte pas les règles de protection du secret professionnel conformément à l'article 84. |
supprimé |
Amendement 398 Proposition de règlement Article 79 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2. |
supprimé |
Amendement 399 Proposition de règlement Article 80 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations aux dispositions sur les principes généraux du chapitre II, sur les droits de la personne concernée du chapitre III, sur le responsable du traitement et le sous-traitant du chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales du chapitre V, sur les autorités de contrôle indépendantes du chapitre VI et sur la coopération et la cohérence du chapitre VII, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression. |
1. Le chapitre II (principes généraux), le chapitre III (droits de la personne concernée), le chapitre IV (responsable du traitement et sous-traitant), le chapitre V (transfert de données à caractère personnel vers des pays tiers et à des organisations internationales), le chapitre VI (autorités de contrôle indépendantes), le chapitre VII (coopération et cohérence) et les articles 73, 74, 76 et 79 du chapitre VIII (voies de recours, responsabilité et sanctions) ne s'appliquent pas aux traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression. |
Justification | |
The new draft legislation on data protection takes the form of a regulation and thus is directly applicable. If data protection law applies directly, the freedom of the press exception must also be directly applicable. An implementation by Member States should not lower down the current level of protection. Furthermore, the exemption should be extended to Articles 73, 74, 76 and 79 of Chapter VIII (on Remedies, Liabilities and Sanctions) because these Articles include new elements which go far beyond what is foreseen in the current directive and are not suitable for journalistic activities or pose a serious threat to press freedom. | |
Amendement 400 Proposition de règlement Article 80 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Le comité européen de la protection des données donne des orientations indiquant quand de telles exemptions ou dérogations peuvent s'avérer nécessaires, après consultation de représentants de la presse, des auteurs et artistes, des personnes concernées et des organisations de la société civile pertinentes. |
Amendement 401 Proposition de règlement Article 80 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 80 bis |
|
|
Traitement des données à caractère personnel et principe du droit d'accès du public aux documents officiels |
|
|
Les données à caractère personnel contenues dans les documents détenus par une autorité publique ou un organe public peuvent être divulguées par cette autorité ou cet organe conformément à la législation de l'État membre relative à l'accès du public aux documents officiels, qui concilie le droit à la protection des données à caractère personnel et le principe du droit d'accès du public aux documents officiels. |
Justification | |
Il est essentiel de veiller à ce que le contrôle des affaires publiques par le public ne soit pas indûment entravé par les règles de protection des données. Comme indiqué dans des avis du CEPD, du groupe de travail "Article 29" et de la FRA, le principe du droit d'accès du public aux documents officiels doit dès lors être garanti. | |
Amendement 402 Proposition de règlement Article 81 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'autres motifs d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
supprimé |
Amendement 403 Proposition de règlement Article 82 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. |
1. Sans préjudice du présent règlement, les États membres ou les employeurs et les salariés, agissant par le biais d'une convention collective, peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de condamnations pénales, de la santé et de la sécurité au travail, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. |
Amendement 404 Proposition de règlement Article 82 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
supprimé |
Amendement 405 Proposition de règlement Article 83 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si: |
1. Sans préjudice du présent règlement, les données à caractère personnel qui n'entrent pas dans les catégories visées à l'article 8 ne peuvent faire l'objet d'un traitement à des fins historiques, statistiques ou scientifiques en vertu de l'article 6, paragraphe 2, et de l'article 9, paragraphe 2, point i), que si: |
Amendement 406 Proposition de règlement Article 83 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) ces finalités ne peuvent être atteintes d'une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d'identifier la personne concernée; |
a) ces finalités ne peuvent être raisonnablement atteintes par le traitement de données qui ne permettent pas ou ne permettent plus d'identifier la personne concernée; |
Amendement 407 Proposition de règlement Article 83 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Le traitement ultérieur des données à des fins historiques, statistiques ou scientifiques n'est pas considéré comme incompatible en vertu de l'article 5, paragraphe 1, point b), pour autant: |
|
|
a) qu'il soit soumis aux conditions et garanties du présent article et |
|
|
b) qu'il respecte toute autre législation pertinente. |
Amendement 408 Proposition de règlement Article 83 – paragraphe 1 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 ter. Dans les limites du présent règlement, et en particulier du présent article, les États membres peuvent adopter des réglementations spécifiques concernant le traitement des données à caractère personnel à des fins de recherche scientifique, et en particulier de recherche en matière de santé publique. |
Justification | |
Les règles de protection des données au niveau des États membres sont complexes et nuancées également en ce qui concerne la recherche en matière de santé publique. Les législateurs des États membres devraient être habilités à maintenir ou adopter des mesures concrètes concernant l'évaluation éthique de la recherche en matière de santé publique, menée sans devoir obtenir le consentement de la personne concernée. L'évaluation éthique au niveau des États membres donne aux personnes concernées la garantie que l'utilisation et la réutilisation de leurs données à caractère personnel à des fins de recherche sont conformes aux valeurs sociétales à ce moment donné. | |
Amendement 409 Proposition de règlement Article 83 – paragraphe 2 – point c bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
c bis) les données à caractère personnel sont traitées afin d'élaborer des rapports de données agrégées, entièrement composés de données anonymisées, de données pseudonymisées ou de données anonymisées et pseudonymisées. |
Justification | |
L'objectif de ces rapports n'est pas d'identifier des individus ni de remonter jusqu'à eux. Pour élaborer ces rapports, différents ensembles de données sont regroupés de manière anonyme et n'ont pas d'incidences sur la protection de la vie privée. La mesure de l'audience des sites internet est un exemple de rapports de données agrégées. | |
Amendement 410 Proposition de règlement Article 83 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Lorsque des données à caractère personnel sont collectées à des fins statistiques et de santé publique, elles sont rendues anonymes immédiatement après la fin de leur collecte et des opérations de contrôle ou de comparaison, sauf si les données permettant l'identification demeurent nécessaires à des fins statistiques1 et de santé publique, telles que la recherche épidémiologique, clinique et de transfert. |
|
|
________________________ |
|
|
1 Paragraphe 8 de l'annexe de la recommandation n° R (97) du Conseil de l'Europe concernant la protection des données à caractère personnel collectées et traitées à des fins statistiques – adoptée par le Comité des ministres, le 30 septembre 1997, lors de la 602e réunion des représentants des ministres. |
Justification | |
La recherche épidémiologique dépend largement de l'utilisation de "données liées" et ne peut pas être menée avec des données complètement anonymisées ou pseudonymisées. La recherche liée est un luxe réservé à certains pays de l'Union européenne et les mesures suggérées dans le règlement contraignant à l'examen risquent de mettre fin à ce type crucial de recherche. | |
Amendement 411 Proposition de règlement Article 83 – paragraphe 2 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 ter. Un responsable du traitement ou un sous-traitant peut transférer des données à caractère personnel à un pays tiers ou à une organisation internationale à des fins historiques, statistiques ou scientifiques si: |
|
|
a) ces finalités ne peuvent être atteintes d'une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d'identifier la personne concernée; |
|
|
b) le destinataire n'a pas raisonnablement accès à des données permettant de rattacher des informations à une personne concernée identifiée ou identifiable; ainsi que |
|
|
c) les clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données interdisent la réidentification de la personne concernée et limitent le traitement conformément aux conditions et garanties prévues dans le présent article. |
Justification | |
Un destinataire de données codées, transférées à des fins de recherche scientifique, n'a aucun moyen de réidentifier les personnes concernées et, en vertu de cet amendement, n'a pas accès à la clé et est empêché contractuellement de réidentifier ces personnes. Cet amendement formaliserait une procédure permettant d'assurer raisonnablement que les données codées ne peuvent pas être et ne seront pas réidentifiées par les destinataires situés dans des pays tiers, ce qui permettrait le transfert de ces données sans autres charges. | |
Amendement 412 Proposition de règlement Article 83 – paragraphe 2 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 quater. Lorsqu'il est demandé à la personne concernée de donner son consentement pour le traitement de données médicales exclusivement à des fins de recherche de santé publique, il est possible de laisser à la personne concernée l'option du consentement général au traitement à des fins de recherche épidémiologique, clinique et de transfert. |
Justification | |
In many fields of medicine and science, it is crucial for researchers to be able to follow the data of a certain patient they have been monitoring. This enables the researchers to understand and constantly improve their search for new treatments and cures. Importantly, epidemiological research involves monitoring populations to decipher trends in lifestyle, genetics, diseases among others, and is crucial for furthering public health research, an example of which is patient registries. Thus record linkage should remain possible, when it comes to the case of using medical data solely for the furthering of public health research, specifically epidemiological, translational and clinical research. With respect to the point on broad consent, the current Directive on Data Protection (95/46/EC) allows for exceptions for the processing of data for public health research and the general aim of the proposed Regulation is to apply the principle of explicit consent for the processing of personal data. For public health research purposes, such as epidemiological, clinical and translational research it becomes virtually impossible to acquire the consent of every single data subject required for research. Public health researchers need to have access to the past, current and future medical records of patients in order to conduct their research. The option of broad consent gives the data subject a measure of control over their data and the option for their data being used for furthering public health research. | |
Amendement 413 Proposition de règlement Article 83 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d'information et d'accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause. |
supprimé |
Amendement 414 Proposition de règlement Article 83 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 83 bis |
|
|
Traitement des données sur les condamnations pénales aux fins de la prévention de la criminalité financière |
|
|
Dans les limites du présent règlement et conformément à l'article 9, paragraphe 2, point j), le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est permis s'il s'accompagne de mesures appropriées pour protéger les droits et les libertés fondamentaux de la personne concernée et s'il est effectué: |
|
|
a) aux fins de la prévention ou de la détection de la criminalité financière ou des enquêtes en la matière, ou |
|
|
b) pour des raisons d'intérêt général comme la protection contre les menaces transfrontalières causées par la criminalité financière |
|
|
Dans chacun de ces deux cas, le traitement doit nécessairement être effectué sans que le consentement de la personne concernée ne soit demandé afin de ne pas porter atteinte à ces objectifs. |
Justification | |
The amendment adds a provision in order to allow the processing of criminal convictions data for the purpose of the prevention of financial crime. The EU has demonstrated its commitment to fight against financial crime with recent initiatives such as the review of the Anti-Money laundering Directive, the anti-corruption package, the anti-fraud strategy, and the establishment of the European Parliament special committee on organised crime, corruption and money laundering. This provision is therefore a needed complementary measure that will allow an effective fight against financial crime. Finally, no consent should be asked in this scenario as this would not be forthcoming. Actors of financial crime would not be keen in providing consent and this would therefore defeat the purpose of processing the data. | |
Amendement 415 Proposition de règlement Article 86 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur du présent règlement. |
2. La délégation de pouvoir visée à l'article 14, paragraphe 7, à l'article 26, paragraphe 5, à l'article 33, paragraphe 6, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, et à l'article 43, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur du présent règlement. |
Amendement 416 Proposition de règlement Article 89 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. L'article 1er, paragraphe 2, de la directive 2002/58/CE est supprimé. |
2. L'article 1er, paragraphe 2, l'article 2, points b) et c), l'article 4, paragraphes 3, 4 et 5, ainsi que les articles 6 et 9 de la directive 2002/58/CE sont supprimés. |
Amendement 417 Proposition de règlement Article 90 – alinéa 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Les actes délégués et les actes d'exécution adoptés par la Commission doivent être évalués par le Parlement et le Conseil tous les deux ans. |
PROCÉDURE
|
Titre |
Protection des personnes physiques à l'égard du traitement des données à caractère personnel, et libre circulation de ces données (règlement général sur la protection des données) |
||||
|
Références |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Commission compétente au fond Date de l'annonce en séance |
LIBE 16.2.2012 |
|
|
|
|
|
Avis émis par Date de l'annonce en séance |
ITRE 16.2.2012 |
||||
|
Rapporteur(e) pour avis Date de la nomination |
Seán Kelly 14.3.2012 |
||||
|
Examen en commission |
31.5.2012 |
28.11.2012 |
23.1.2013 |
|
|
|
Date de l'adoption |
20.2.2013 |
|
|
|
|
|
Résultat du vote final |
+: –: 0: |
33 24 1 |
|||
|
Membres présents au moment du vote final |
Amelia Andersdotter, Josefa Andrés Barea, Zigmantas Balčytis, Bendt Bendtsen, Jan Březina, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Christian Ehler, Vicky Ford, Gaston Franco, Adam Gierek, Norbert Glante, Fiona Hall, Jacky Hénin, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Marisa Matias, Angelika Niebler, Jaroslav Paška, Herbert Reul, Teresa Riera Madurell, Michèle Rivasi, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Patrizia Toia, Evžen Tošenovský, Catherine Trautmann, Marita Ulvskog, Vladimir Urutchev, Adina-Ioana Vălean |
||||
|
Suppléant(s) présent(s) au moment du vote final |
Lara Comi, Ioan Enciu, Satu Hassi, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Holger Krahmer, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Vladko Todorov Panayotov, Pavel Poc, Vladimír Remek, Algirdas Saudargas, Silvia-Adriana Ţicău |
||||
|
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Axel Voss |
||||
AVIS de la commission du marché intérieur et de la protection des consommateurs (28.1.2013)
à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Rapporteure pour avis: Lara Comi
JUSTIFICATION SUCCINCTE
La protection des données à caractère personnel est un droit fondamental. Il faut donner confiance aux citoyens pour que ceux-ci puissent mieux profiter d'internet. L'approche doit être mise à jour pour couvrir les nouveaux outils techniques et la circulation des données qui en résulte. Ainsi, les dispositions actuelles de la directive 95/46/CE sont insuffisantes pour répondre aux besoins du marché unique numérique.
La diversité des modèles d'activité, des technologies et des services disponibles, y compris ceux présentant un intérêt pour le commerce électronique et le marché intérieur, a soulevé maints problèmes de protection des données à caractère personnel. Les entreprises et les gouvernements ont recours à ces technologies, souvent sans que les particuliers soient informés des incidences qu'elles peuvent avoir.
Le 25 janvier 2012, la Commission européenne a présenté deux propositions, l'une d'un nouveau règlement[1], l'autre d'une nouvelle directive[2], tous deux relatifs à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. La proposition de règlement vise à compléter les dispositions de la directive vie privée et communications électroniques (2002/58/CE) et à veiller à une sécurité et à une cohérence juridiques optimales pour un travail efficace à l'échelle européenne dans ce domaine.
La proposition de règlement vise à harmoniser les droits des personnes physiques, à garantir la libre circulation des informations, à simplifier les procédures administratives et à améliorer les mesures visant à faire respecter la réglementation. Une plus grande transparence renforcera la confiance des citoyens, et de nouvelles dispositions augmenteront l'attractivité de l'Union européenne pour les entreprises. La proposition de règlement entend par ailleurs:
§ moderniser le système juridique de l'Union européenne pour la protection des données à caractère personnel, en particulier en ce qui concerne les problèmes posés par la mondialisation et par l'utilisation des nouvelles technologies;
§ renforcer les droits des personnes physiques tout en simplifiant les formalités administratives pour assurer une circulation sans entraves des données à caractère personnel au sein de l'Union;
§ améliorer la clarté et la cohérence de la législation de l'Union relative à la protection des données à caractère personnel et parvenir à protéger et à faire respecter ce droit fondamental, de manière aussi cohérente qu'efficace, dans tous les domaines d'action de l'Union.
Intérêt pour le marché intérieur
La proposition peut contribuer dans une large mesure au renforcement du marché intérieur et à la création d'un environnement égalitaire pour toutes les entreprises exerçant leur activité dans l'Union européenne. Parmi les éléments clés figurent:
§ le changement d'instrument législatif (règlement plutôt que directive);
§ le principe du "guichet unique" pour l'autorité de surveillance compétente dans les cas transfrontaliers;
§ le principe de primauté du lieu de la transaction (qui étend les normes européennes de protection des données aux entreprises situées en dehors de l'Union, du moment qu'elles exercent leur activité au sein de l'Union);
§ le principe général de responsabilité (qui remplace l'obligation faite aux organismes de contrôle ou de traitement des données d'informer de manière générale leur autorité de réglementation nationale des traitements de données effectués);
§ le renforcement des outils existants et la création de nouveaux outils, visant à appliquer et à faire respecter les règles dans tous les États membres.
Renforcement des droits du consommateur
En ce qui concerne la défense des droits des consommateurs, il semble que l'on ait atteint, grâce à la promotion de la transparence, un équilibre entre des intérêts opposés, tels que l'information, l'autonomie et la protection du consommateur, d'une part, et le marché intérieur, de l'autre.
En particulier, des améliorations ont eu lieu dans le domaine du consentement, reconnu comme un des facteurs de légitimité pour le traitement des données à caractère personnel; dans le domaine des droits de la personne dont les données sont traitées, dont l'utilité pour la protection du consommateur ne fait plus de doute; et enfin, dans le domaine des conditions garantissant la licéité des transferts de données vers l'extérieur de l'Union. Néanmoins, de nombreuses sections de la proposition mériteraient d'être davantage précisées et clarifiées. C'est tout particulièrement le cas des modalités pratiques d'application de certains droits. Ces ambiguïtés doivent disparaître, avec une attention particulière qu'il convient de porter aux éléments suivants:
§ à l'article 17, il convient de préciser dans quelle mesure, une fois informé par un responsable du traitement des données qu'une personne a exercé son droit à l'effacement, les données détenues par un responsable du traitement tiers doivent également être supprimées;
§ la protection spéciale nécessaire pour les mineurs jusqu'à l'âge de 14 ans, qui sont considérés comme des enfants;
§ la définition proposée du terme "données à caractère personnel";
§ le rôle que l'anonymisation et la pseudonymisation peuvent jouer dans la protection des usagers;
§ il conviendrait d'affiner la proposition pour ce qui est de la séparation et de la détermination précises des obligations et des responsabilités du responsable du traitement des données et de ses sous‑traitants;
§ il faut examiner attentivement les opérations de profilage ainsi que les différences de profilage dans les divers secteurs de l'économie ou dans les relations juridiques, tout en tenant compte des conséquences qu'aurait une réglementation excessivement contraignante dans ce domaine.
Compte tenu de ce qui précède, votre rapporteure souhaite se concentrer notamment sur:
§ les définitions;
§ les droits des personnes dont les données font l'objet d'un traitement;
§ les obligations, au regard des droits du consommateur, des responsables du traitement des données et de leurs sous‑traitants;
§ la cohérence.
Votre rapporteure souhaiterait également adopter un point de vue plus large de la neutralité sur le plan technologique, ainsi que s'intéresser:
§ au principe de limitation de la finalité;
§ à l'utilisation d'actes délégués ou d'exécution en complément du train de mesures proposé; et
§ aux modalités pratiques de mise en application des dispositions.
AMENDEMENTS
La commission du marché intérieur et de la protection des consommateurs invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de règlement Considérant 6 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(6 bis) Il convient de veiller à un bon équilibre entre la protection de la vie privée et le respect du marché unique. Les règles en matière de protection des données ne sauraient nuire à la compétitivité, à l'innovation et aux nouvelles technologies. |
Amendement 2 Proposition de règlement Considérant 13 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(13 bis) La neutralité sur le plan technologique signifie également que des actions similaires, effectuées dans des conditions similaires et ayant des conséquences similaires devraient avoir une valeur juridique équivalente, qu'elles se produisent en ligne ou hors‑ligne, sauf si la différence entre les manières de traiter les données entraîne une différence significative entre elles. |
Justification | |
Il s'agit d'attirer l'attention sur la différence entre environnements hors‑ligne et en ligne. Sans ce considérant, certains acteurs économiques pourraient croire que ce règlement vise uniquement les problèmes liés à internet, en particulier ceux posés par les réseaux sociaux. | |
Amendement 3 Proposition de règlement Considérant 15 | |
|
Texte proposé par la Commission |
Amendement |
|
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont exclusivement personnels ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale. Elle ne devrait pas valoir non plus pour les responsables du traitement de données ou leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. |
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont exclusivement personnels ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale, et qui n'impliquent pas de rendre accessibles lesdites données à un nombre indéfini de personnes. Elle ne devrait pas valoir non plus pour les responsables du traitement de données ou leurs sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. |
Justification | |
Il convient de clarifier le champ d'application de cette exception, notamment en raison de l'essor des réseaux sociaux qui permettent le partage d'informations avec des centaines de personnes. La CJUE (affaires C-101/01 et C-73/07) préconise l'accessibilité "par un nombre indéfini de personnes" comme critère d'application de cette exception. Le CEPD est du même avis. | |
Amendement 4 Proposition de règlement Considérant 23 | |
|
Texte proposé par la Commission |
Amendement |
|
(23) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus identifiable. |
(23) Il y a lieu d'appliquer les principes de protection à toute information concernant une personne identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne. Il n'y a pas lieu d'appliquer les principes de protection aux données qui ont été rendues suffisamment anonymes pour que la personne concernée ne soit plus directement identifiable, notamment, à chaque fois que possible, au moyen d'une séparation des données traitées de celles pouvant renseigner sur l'identité. Dans ce dernier cas de figure, les données protégées par un pseudonyme sont également utiles, à condition que la clé permettant de relier pseudonyme et données d'identification soit sécurisée conformément à l'état de l'art en la matière. |
Justification | |
Il convient de clarifier la définition de "données à caractère personnel" afin de la rendre utile tant du côté de l'usager que de celui de l'entrepreneur. À cette fin, les précisions concernant les données anonymes et pseudonymes sont d'une grande utilité. | |
Amendement 5 Proposition de règlement Considérant 23 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(23 bis) Une grande quantité de données à caractère personnel est susceptible d'être traitée à des fins de prévention et de détection des fraudes. Les dispositions prises à cet effet, réglementées par le droit de l'Union ou des États membres, devraient être prises en compte lors de l'évaluation du principe de minimisation des données et de la licéité du traitement des données. |
Justification | |
Cet amendement vise à souligner un principe qui, s'il ne s'oppose pas au présent règlement, n'y est pas pour autant explicitement évoqué. | |
Amendement 6 Proposition de règlement Considérant 23 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(23 ter) Conformément au principe de protection des données par défaut, les services et produits en ligne doivent inclure dès le départ la protection maximale des informations et données à caractère personnel, sans exiger aucune action de la part de la personne concernée. |
Amendement 7 Proposition de règlement Considérant 24 | |
|
Texte proposé par la Commission |
Amendement |
|
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion ("cookies") par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. |
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion ("cookies") par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle qu'il devrait être examiné au cas par cas et en fonction des développements technologiques si des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques doivent nécessairement être considérés, en soi, comme des données à caractère personnel, mais qu'ils sont considérés comme telles lorsqu'ils sont traités dans l'intention de cibler un contenu particulier auprès d'une personne physique ou d'isoler ladite personne dans tout autre but. |
Justification | |
Dans un contexte d'offre croissante de nouveaux services en ligne et de développement technologique constant, il faut assurer un niveau élevé de protection des données à caractère personnel des citoyens. Un examen au cas par cas paraît donc indispensable. | |
Amendement 8 Proposition de règlement Considérant 25 | |
|
Texte proposé par la Commission |
Amendement |
|
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
(25) Le consentement devrait être donné selon toute modalité appropriée au média utilisé permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans le contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. Les informations fournies pour que les enfants expriment leur consentement devaient être formulées dans un langage clair et approprié au regard de l'âge, d'une manière facile à comprendre pour un enfant de plus de 13 ans. |
Justification | |
Afin de faciliter certaines situations de la vie quotidienne, en ligne ou hors‑ligne, il est utile d'apporter quelques précisions concernant les cas de figure où le consentement est implicite compte tenu du contexte. Par exemple: demander un diagnostic à un médecin nécessite le traitement de quelques données personnelles, sans comporter obligatoirement une action spécifique comme celles définies dans les premières phrases du considérant. Toujours dans cet exemple, le médecin peut communiquer avec un spécialiste, si cela est nécessaire pour établir un diagnostic, sans avoir nécessairement à obtenir la permission du patient. | |
Amendement 9 Proposition de règlement Considérant 27 | |
|
Texte proposé par la Commission |
Amendement |
|
(27) Le principal établissement d'un responsable du traitement ou d'un sous-traitant devrait être déterminé en fonction de critères objectifs et devrait supposer l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. On entend par «établissement principal du sous-traitant» le lieu de son administration centrale dans l'Union. |
(27) Le principal établissement d'un responsable du traitement ou d'un sous-traitant devrait être déterminé en fonction de critères objectifs et devrait supposer l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. |
Justification | |
Cet amendement complète l'amendement à l'article 4, point 13. | |
Amendement 10 Proposition de règlement Considérant 27 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(27 bis) Le représentant est responsable, conjointement avec le responsable du traitement, de tout comportement contraire au présent règlement. |
Justification | |
La responsabilité du représentant n'est pas suffisamment explicite, ce que ce considérant vise à rectifier. | |
Amendement 11 Proposition de règlement Considérant 29 | |
|
Texte proposé par la Commission |
Amendement |
|
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant. |
(29) Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données et qu'ils sont des consommateurs vulnérables. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant. Il est en particulier nécessaire d'employer un langage adapté aux enfants afin de garantir le droit au consentement pour les enfants de plus de 13 ans. |
Amendement 12 Proposition de règlement Considérant 30 | |
|
Texte proposé par la Commission |
Amendement |
|
(30) Tout traitement de données à caractère personnel devrait être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données. Les données devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les données collectées ne soient pas excessives et à ce que leur durée de conservation soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique. |
(30) Tout traitement de données à caractère personnel devrait être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités précises du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données. Les données devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées, ce qui exige de veiller à ce que les données collectées ne soient pas excessives et à ce que leur durée de conservation n'excède pas celle qui est nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique. Lors de l'évaluation des données minimales nécessaires au regard des finalités pour lesquelles les données sont traitées, il convient de tenir compte des obligations d'autres législations qui requièrent que des données exhaustives soient traitées en vue d'une utilisation pour la prévention et la détection de fraudes, la confirmation d'identité et/ou la détermination de la solvabilité. |
Justification | |
Cet amendement vise à clarifier l'obligation faite aux responsables du traitement de contrôler les données minimales nécessaires et les durées de conservation. Il cherche en outre à assurer une cohérence entre les formulations employées dans ce considérant et celles de l'article 5, point e). Il vise enfin à harmoniser le présent règlement avec la législation existante, telle que la directive sur le crédit à la consommation et la directive sur les contrats de crédit relatifs aux biens immobiliers à usage résidentiel, ainsi qu'avec les bonnes pratiques existantes, qui requièrent une évaluation globale de la situation financière d'un consommateur par le biais de l'évaluation de sa solvabilité. | |
Amendement 13 Proposition de règlement Considérant 33 | |
|
Texte proposé par la Commission |
Amendement |
|
(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. |
(33) Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. De même, le consentement ne devrait pas constituer une base juridique pour le traitement de données lorsque la personne concernée n'a pas d'accès différent à des services équivalents. |
Amendement 14 Proposition de règlement Considérant 34 | |
|
Texte proposé par la Commission |
Amendement |
|
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
(34) Le consentement est donné librement et la personne concernée n'est pas forcée à consentir au traitement de ses données, en particulier lorsqu'il existe un déséquilibre important entre la personne concernée et le responsable du traitement, ce qui peut se produire lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Toutefois, lorsque l'objectif du traitement des données est dans l'intérêt de la personne concernée et que celle-ci est par la suite en mesure de retirer son consentement sans préjudice, le consentement devrait constituer un fondement juridique valable pour le traitement. |
|
|
Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation nouvelle et injustifiée. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
Justification | |
Cette disposition devrait garantir que la personne concernée dispose d'un choix véritable et libre et soit par la suite en mesure de retirer son consentement ou de s'opposer à ce que ses données continuent d'être traitées dans toute situation. Elle ne prive pas les personnes physiques de la possibilité d'accepter le traitement de données, en particulier lorsque cela est dans leur intérêt (par exemple lorsque l'employeur propose une assurance). Le règlement ne devrait pas supposer qu'il soit impossible de consentir librement au traitement des données dans les relations entre l'employeur et l'employé. | |
Amendement 15 Proposition de règlement Considérant 34 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(34 bis) Lorsque des données à caractère personnel, traitées en se fondant sur le consentement de la personne concernée, sont nécessaires pour la fourniture d'un service, le retrait du consentement peut constituer un motif de résiliation du contrat par le prestataire de services. Cela s'applique en particulier aux services qui sont fournis gratuitement aux consommateurs. |
Justification | |
Adding such a recital would have an awareness-raising meaning. Although the possibility to terminate a contract steams from the terms of contract in cases where data processing is necessary for the provision of a service, it is necessary to make users conscious that in some cases data are the currency by which they pay for the service. Auction platforms, for instance, use stored data to examine credibility of those selling with the use of a platform and a mutual evaluation exercised by the users is used by them to attract more potential clients but also to prevent fraud. Withdrawing consent to process such data would run against the whole point of such platforms. Consumers should also be aware that many business models provide access to services "free" of charge in return for the access to some of their personal data. Withdrawing the right to process these data can therefore result in no access to the service. | |
Amendement 16 Proposition de règlement Considérant 38 | |
|
Texte proposé par la Commission |
Amendement |
|
(38) Les intérêts légitimes du responsable du traitement peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
(38) Les intérêts légitimes d'une personne peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement ou les tiers auxquels les données sont communiquées devraient être tenus d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
Justification | |
Le rapporteur propose de conserver la formulation de la directive 95/46/CE. Il est rappelé que le règlement ne concerne pas seulement le monde numérique mais s'appliquera aussi aux activités hors ligne. Pour le financement de leurs activités, certains secteurs, comme celui de l'édition des journaux, ont besoin d'utiliser des sources extérieures pour contacter de potentiels nouveaux abonnés. | |
Amendement 17 Proposition de règlement Considérant 40 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(40 bis) En général, l'harmonisation du droit de l'Union en ce qui concerne la protection des données ne saurait supprimer la possibilité qu'ont les États membres d'appliquer une législation sectorielle spécifique, entre autres dans le domaine de la recherche sur la base de registres. |
Justification | |
Le cadre juridique actuel sur la protection des données dans l'Union européenne, la directive 95/46/CE, accorde aux États membres différents degrés de liberté pour adapter la législation de l'Union aux circonstances nationales. | |
Amendement 18 Proposition de règlement Considérant 40 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(40 ter) Le traitement de données à caractère personnel recueillies pour une autre finalité peut être mis à disposition pour la recherche scientifique publique lorsque la pertinence scientifique du traitement des données recueillies peut être prouvée. Il est nécessaire de tenir compte du respect de la vie privée dès la conception lorsque des données sont mises à disposition pour la recherche scientifique publique. |
Amendement 19 Proposition de règlement Considérant 42 | |
|
Texte proposé par la Commission |
Amendement |
|
(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de remboursement et de services dans le régime d'assurance-maladie, ou à des fins statistiques ou de recherche historique ou scientifique. |
(42) Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, y compris les informations envoyées par SMS ou courrier électronique aux patients au sujet de rendez-vous dans des hôpitaux ou cliniques, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de remboursement et de services dans le régime d'assurance-maladie, ou à des fins statistiques ou de recherche historique ou scientifique. |
Amendement 20 Proposition de règlement Considérant 48 | |
|
Texte proposé par la Commission |
Amendement |
|
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, des critères et/ou obligations légales permettant de déterminer la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
Justification | |
Il n'est pas possible de connaître à l'avance la durée pendant laquelle les données à caractère personnel seront conservées, d'autant que cette durée peut être liée à des obligations légales spécifiques. | |
Amendement 21 Proposition de règlement Considérant 49 | |
|
Texte proposé par la Commission |
Amendement |
|
(49) L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre destinataire, il convient que la personne concernée soit informée lorsque ces données sont divulguées pour la première fois audit destinataire. |
(49) L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre destinataire, il convient que la personne concernée soit informée lorsque ces données sont divulguées pour la première fois audit destinataire. En même temps, aucun traitement, excepté le stockage, ne devrait être autorisé avant que la personne concernée soit pleinement informée. |
Justification | |
Cet amendement fait écho à l'amendement à l'article 14, paragraphe 4, point b). | |
Amendement 22 Proposition de règlement Considérant 51 | |
|
Texte proposé par la Commission |
Amendement |
|
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, les critères permettant de déterminer la durée de conservation pour chaque finalité, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
Justification | |
Il n'est pas toujours possible de déterminer avec précision la durée exacte de conservation des données à caractère personnel, notamment en cas de conservation pour différentes finalités. | |
Amendement 23 Proposition de règlement Considérant 53 | |
|
Texte proposé par la Commission |
Amendement |
|
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un «droit à l’oubli numérique» lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. |
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant et de faire effacer ces données lorsque leur conservation n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. De la même manière, le droit à l'effacement ne s'applique pas lorsque la conservation de données à caractère personnel est nécessaire pour l'exécution d'un contrat avec la personne concernée, ou lorsqu'une disposition réglementaire impose de conserver ces données, ou à des fins de prévention de la criminalité financière. |
Justification | |
Cet amendement fait écho à l'amendement à l'article 17. | |
Amendement 24 Proposition de règlement Considérant 54 | |
|
Texte proposé par la Commission |
Amendement |
|
(54) Afin de renforcer le «droit à l'oubli numérique» dans l’environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données, ou toute copie ou reproduction de celles-ci. Afin d'assurer cette information, le responsable des données devrait prendre toutes les mesures raisonnables, y compris les mesures techniques, à l'égard des données dont la publication lui est imputable. En ce qui concerne la responsabilité de la publication de données à caractère personnel par un tiers, elle devrait être imputée au responsable du traitement lorsqu'il a lui‑même autorisé le tiers à l'effectuer. |
(54) Afin de renforcer le droit à l'effacement des données dans l’environnement en ligne, ce droit devrait en outre être étendu de façon à ce que le responsable du traitement qui a transmis ou rendu publiques les données à caractère personnel sans avoir reçu d'instructions à cet effet de la part de la personne concernée soit tenu d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données, ou toute copie ou reproduction de celles-ci. Afin d'assurer cette information, le responsable des données devrait prendre toutes les mesures raisonnables, y compris les mesures techniques, à l'égard des données dont la publication lui est imputable. En ce qui concerne la responsabilité de la publication de données à caractère personnel par un tiers, elle devrait être imputée au responsable du traitement lorsqu'il a lui‑même autorisé le tiers à l'effectuer. |
Justification | |
Cet amendement va de pair avec celui à l'article 17, paragraphe 2. | |
Amendement 25 Proposition de règlement Considérant 55 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(55 bis) Certaines données à caractère personnel, une fois traitées par le responsable de traitement ou par le sous‑traitant, produisent des résultats utilisés uniquement de manière interne par le responsable de traitement et dont le format n'est d'aucun intérêt, même pour la personne concernée. Dans ce cas, le droit au transfert des données ne s'applique pas, tandis que les autres droits, en particulier ceux d'opposition, d'accès et de rectification, continuent de s'appliquer. |
Justification | |
Il s'agit ici de clarifier ce que l'on entend par "intérêt". | |
Amendement 26 Proposition de règlement Considérant 60 | |
|
Texte proposé par la Commission |
Amendement |
|
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. |
(60) Il y a lieu d'instaurer une responsabilité générale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. |
Justification | |
Pour renforcer la protection des données à caractère personnel, il faut consacrer de manière explicite un principe général de responsabilité du responsable du traitement. | |
Amendement 27 Proposition de règlement Considérant 61 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(61 bis) Le présent règlement encourage les entreprises à développer des programmes internes qui repèreront les opérations de traitement susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, et à mettre en place des garanties appropriées de respect de la vie privée ainsi qu'à développer des solutions innovantes de respect de la vie privée dès la conception et des techniques d'amélioration de ce respect. Les entreprises pouvant prouver publiquement avoir intégré une obligation de rendre des comptes en matière de respect de la vie privée n'ont pas besoin d'appliquer également les mécanismes supplémentaires de surveillance de la consultation et de l'autorisation préalables. |
Justification | |
Cet amendement met le texte en conformité avec une approche selon laquelle l'obligation de rendre des comptes constitue un processus alternatif qui encourage de façon adéquate les bonnes pratiques organisationnelles. Une telle adaptation fait par ailleurs passer la charge des coûts de conformité et d'assurance au marché plutôt qu'aux deniers publics. | |
Amendement 28 Proposition de règlement Considérant 61 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(61 ter) La protection des données dès la conception est, par sa nature même, un outil très utile en ce qu'elle permet à la personne concernée d'avoir un contrôle total sur la protection des données qui la concernent, sur les informations qu'elle partage et sur le choix des tiers avec qui les partager. À l'heure d'examiner ce principe ainsi que la protection des données par défaut, le contexte doit être fortement pris en compte pour évaluer la licéité du traitement des données. |
Justification | |
Cet amendement clarifie l'amendement à l'article 23, paragraphe 2. Il s'applique aux cas où l'usager a la possibilité de consentir à un système de traitement des données, auquel cas l'ensemble des conséquences doit être pris en compte. Par exemple, lorsqu'un usager s'inscrit à un réseau social, il devrait accepter qu'une partie des informations qu'il communique soit rendue publique pour que les autres usagers puissent communiquer avec lui, tandis qu'un tel degré de publicité des données ne devrait pas être accepté par une personne lors d'une demande de crédit. | |
Amendement 29 Proposition de règlement Considérant 61 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(61 quater) Le principe de la protection des données dès la conception requiert que cette protection soit intégrée dans la totalité du cycle de vie d'une technologie, dès la toute première étape de conception jusqu'à son déploiement final, son utilisation et son élimination. Le principe de la protection des données par défaut requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la minimisation des données et la limitation de la finalité. |
Amendement 30 Proposition de règlement Considérant 62 | |
|
Texte proposé par la Commission |
Amendement |
|
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. |
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. En cas de responsabilité solidaire, le sous-traitant qui a réparé le dommage de la personne concernée peut exercer un recours contre le responsable du traitement pour réclamer le remboursement, s'il a agi conformément à l'acte juridique qui le lie à ce dernier. |
Justification | |
Le sous-traitant est défini comme celui qui agit pour le compte du responsable du traitement. Par conséquent, lorsque le sous-traitant respecte scrupuleusement les instructions qui lui sont données, une violation des données personnelles devrait être imputée au responsable du traitement et non pas au sous-traitant, sans pour autant affecter le droit à la rémunération de la personne concernée. | |
Amendement 31 Proposition de règlement Considérant 65 | |
|
Texte proposé par la Commission |
Amendement |
|
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait consigner chaque opération de traitement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question. |
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait conserver des informations pertinentes sur les principales catégories de traitement effectuées. La Commission devrait déterminer un format uniforme pour la documentation de ces informations dans l'Union. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles aident l'autorité de surveillance à évaluer la conformité de ces principales catégories de traitement avec le présent règlement. |
Justification | |
Une protection efficace des données impose aux organisations de disposer d'une connaissance suffisamment documentée de leurs activités de traitement des données. Toutefois, la conservation d'une trace documentaire de toutes les opérations de traitement impose des charges disproportionnées. Au lieu de satisfaire à des exigences bureaucratiques, la documentation devrait avoir pour objectif d'aider les responsables du traitement et les sous-traitants à s'acquitter de leurs obligations. | |
Amendement 32 Proposition de règlement Considérant 67 | |
|
Texte proposé par la Commission |
Amendement |
|
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d’identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu’une telle violation s’est produite, il conviendrait qu'il en informe l’autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s’imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d’identité, à la personne physique concernée. En conséquence, prévenir une telle perte économique et de tels dommages sociaux doit être une priorité absolue. Dès que le responsable du traitement apprend qu'une violation susceptible de porter sérieusement atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s’imposent, sans être pour cela surchargées d'information. Il y a lieu de considérer qu'une violation affecte sérieusement les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
Justification | |
Cet amendement vise à expliciter les mesures à prendre en cas de violation de données à caractère personnel et à clarifier les amendements aux articles 31 et 32. | |
Amendement 33 Proposition de règlement Considérant 69 | |
|
Texte proposé par la Commission |
Amendement |
|
(69) Lors de la fixation des règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d’usurpation d’identité ou d’autres formes d’abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives dans les cas où une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances de la violation. |
(69) Lors de l'évaluation du degré de détail des notifications des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d’usurpation d’identité ou d’autres formes d’abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives dans les cas où une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances de la violation. |
Justification | |
Cet amendement reflète la suppression de l'article 32, paragraphe 5. | |
Amendement 34 Proposition de règlement Considérant 70 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(70 bis) La directive 2002/58/CE (telle que modifiée par la directive 2009/136/CE) prévoit des obligations de notification des violations de données à caractère personnel pour le traitement de données à caractère personnel en relation avec la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics dans l'Union. Lorsque des fournisseurs de services de communications électroniques accessibles au public fournissent également d'autres services, ils restent soumis aux obligations de notification des violations énoncées par la directive "vie privée et communications électroniques", et non au présent règlement. De tels fournisseurs devaient relever d'un régime unique de notification des violations de données à caractère personnel tant pour les données à caractère personnel traitées en relation avec la fourniture de services de communications électroniques accessibles au public que pour toute autre donnée à caractère personnel dont ils sont les responsables du traitement. |
Justification | |
Les fournisseurs de services de communications électroniques devraient être soumis à un seul et unique régime de notification pour toute violation des données qu'ils traitent, et non à des régimes multiples dépendant du service offert. Cette disposition garantit des conditions uniformes pour les acteurs industriels. | |
Amendement 35 Proposition de règlement Considérant 97 | |
|
Texte proposé par la Commission |
Amendement |
|
(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants. |
(97) Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant a lieu dans plusieurs États membres, il conviendrait qu'une seule autorité de contrôle soit compétente pour surveiller les activités de traitement du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous-traitants. Par dérogation à l'article 51, paragraphe 2, lorsque les traitements des données à caractère personnel ne sont pas principalement mis en œuvre par l'établissement principal, mais par l'un des autres établissements du responsable du traitement ou du sous-traitant situé dans l'Union, l'autorité de contrôle compétente pour ces traitements devrait être celle de l'État membre où se situe cet autre établissement. Dans le respect des dispositions du chapitre VII, cette dérogation devrait être sans préjudice de la possibilité pour l'autorité de contrôle de l'État membre où se situe l'établissement principal d'exiger une déclaration complémentaire. |
Justification | |
Si les traitements couvrant plusieurs pays sont facilement contrôlables par l'établissement principal, et doivent être de la compétence d'une autorité unique, après une déclaration centralisée, les traitements nationaux gérés de façon décentralisée par des filiales et difficilement maîtrisables par l'établissement principal devraient, quant à eux, pouvoir relever de la compétence de chaque autorité de contrôle nationale. | |
Amendement 36 Proposition de règlement Considérant 105 | |
|
Texte proposé par la Commission |
Amendement |
|
(105) Afin de garantir l’application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. |
(105) Afin de garantir l’application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou à l'observation de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans ce cadre. En outre, les personnes concernées devraient avoir le droit d'exiger de la cohérence si elles estiment qu'une mesure mise en œuvre par l'autorité de protection des données d'un État membre ne répond pas à ce critère. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. |
Justification | |
Introduit le nouvel article 63 bis. | |
Amendement 37 Proposition de règlement Considérant 111 | |
|
Texte proposé par la Commission |
Amendement |
|
(111) Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours si elle estime que les droits que lui confère le présent règlement ne sont pas respectés, si l’autorité de contrôle ne réagit pas à une réclamation ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée. |
(111) Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours si elle estime que les droits que lui confère le présent règlement ne sont pas respectés, si l’autorité de contrôle ne réagit pas à une réclamation ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée. Si la personne concernée estime que le principe de cohérence n'est pas respecté, elle peut présenter une plainte devant le comité européen de protection des données. |
Amendement 38 Proposition de règlement Considérant 113 | |
|
Texte proposé par la Commission |
Amendement |
|
(113) Toute personne physique ou morale devrait disposer d'un droit de recours contre les décisions d'une autorité de contrôle qui la concernent. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie. |
(113) Toute personne physique ou morale devrait disposer d'un droit de recours contre les décisions d'une autorité de contrôle qui la concernent. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l'État membre sur le territoire duquel l'autorité de contrôle est établie, ou devant le comité européen de protection des données au titre de l'absence de cohérence avec la manière dont le présent règlement est appliqué dans d'autres États membres. |
Amendement 39 Proposition de règlement Considérant 115 | |
|
Texte proposé par la Commission |
Amendement |
|
(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande. |
supprimé |
Justification | |
Cette possibilité n'apporte pas une plus-value aux citoyens et risque de compromettre le bon déroulement de la collaboration des autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence. | |
Amendement 40 Proposition de règlement Considérant 118 | |
|
Texte proposé par la Commission |
Amendement |
|
(118) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. |
(118) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. En cas de responsabilité solidaire, le sous-traitant qui a réparé le dommage de la personne concernée peut exercer un recours contre le responsable du traitement pour réclamer le remboursement s'il a agi conformément à l'acte juridique qui le lie à ce dernier. |
Justification | |
La proposition de règlement introduit le principe général de responsabilité du responsable du traitement (article 5, point f, et article 22), qui doit être maintenu et explicité. Le sous-traitant est défini comme celui qui agit pour le compte du responsable du traitement. En outre, dans l'hypothèse où le sous-traitant ne suit pas les instructions qui lui sont données, l'article 26, paragraphe 4, dispose qu'il est considéré comme responsable du traitement. | |
Amendement 41 Proposition de règlement Considérant 120 | |
|
Texte proposé par la Commission |
Amendement |
|
(120) Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir de sanctionner les infractions administratives. Le présent règlement devrait définir ces infractions ainsi que le montant maximal des amendes administratives dont elles sont passibles. Le montant de l'amende devrait être fixé, dans chaque cas, en fonction de la situation spécifique, compte dûment tenu, notamment, de la nature, de la gravité et de la durée de l'infraction. Il pourrait en outre être recouru au mécanisme de contrôle de la cohérence pour résoudre les divergences d'application des sanctions administratives. |
(120) Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir de sanctionner les infractions administratives. Le présent règlement devrait définir ces infractions ainsi que le montant maximal des amendes administratives dont elles sont passibles. Le montant de l'amende devrait être fixé, dans chaque cas, en fonction de la situation spécifique, compte dûment tenu, notamment, de la nature, de la gravité et de la durée de l'infraction. Afin de renforcer le marché intérieur, les sanctions administratives doivent être cohérentes entre les États membres. Il pourrait en outre être recouru au mécanisme de contrôle de la cohérence pour résoudre les divergences d'application des sanctions administratives. |
Justification | |
Cet amendement anticipe l'exigence de cohérence des sanctions administratives des articles 78 et 79. | |
Amendement 42 Proposition de règlement Considérant 122 | |
|
Texte proposé par la Commission |
Amendement |
|
(122) Le traitement des données à caractère personnel concernant la santé, qui constituent une catégorie spéciale de données exigeant une protection plus élevée, peut souvent être justifié par divers motifs légitimes, dans l'intérêt des personnes et de la société dans son ensemble, notamment lorsqu'il s'agit d'assurer la continuité des soins de santé d'un pays à un autre. Le présent règlement devrait donc prévoir des conditions harmonisées pour le traitement des données à caractère personnel dans le domaine de la santé, en les assortissant de garanties spécifiques et appropriées pour protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Ceci inclut leur droit d'accéder aux données ayant trait à leur santé, par exemple les données des dossiers médicaux faisant état de diagnostics, de résultats d'examens, d'avis de médecins traitants ou de tout traitement ou intervention effectués. |
(122) Le traitement des données à caractère personnel concernant la santé, qui constituent une catégorie spéciale de données exigeant une protection plus élevée, peut souvent être justifié par divers motifs légitimes, dans l'intérêt des personnes et de la société dans son ensemble, notamment lorsqu'il s'agit d'assurer la continuité des soins de santé d'un pays à un autre. Le présent règlement devrait donc prévoir des conditions harmonisées pour le traitement des données à caractère personnel dans le domaine de la santé, en les assortissant de garanties spécifiques et appropriées pour protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Ceci inclut leur droit d'accéder aux données ayant trait à leur santé, directement ou par l'intermédiaire de mandataires préalablement nommés, par exemple les données des dossiers médicaux faisant état de diagnostics, de résultats d'examens, d'avis de médecins traitants ou de tout traitement ou intervention effectués. |
Justification | |
Il s'agit de permettre à la famille d'un patient d'accéder aux informations utiles, surtout lorsque le patient n'est pas en état de prendre des décisions ou d'utiliser de telles informations en raison de son état de santé. | |
Amendement 43 Proposition de règlement Considérant 122 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(122 bis) Un professionnel qui traite des données à caractère personnel relatives à la santé doit recueillir, dans la mesure du possible, des données anonymes ou protégées par un pseudonyme, de sorte à ce que l'identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données. |
Justification | |
Il s'agit ici de proposer un outil supplémentaire de protection des citoyens dont les données de santé sont traitées par un professionnel qui n'a pas besoin de connaître l'identité de la personne concernée. | |
Amendement 44 Proposition de règlement Considérant 129 | |
|
Texte proposé par la Commission |
Amendement |
|
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les transferts encadrés par des règles d'entreprise contraignantes les dérogations relatives aux transferts; les sanctions administratives; les traitements à des fins médicales; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant sur des catégories particulières de données; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement; les sous-traitants; les critères et exigences spécifiques pour la documentation; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les transferts encadrés par des règles d'entreprise contraignantes les dérogations relatives aux transferts; les traitements à des fins médicales; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
Amendement 45 Proposition de règlement Considérant 130 | |
|
Texte proposé par la Commission |
Amendement |
|
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès; des formulaires types concernant les obligations du responsable du traitement en matière de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
Amendement 46 Proposition de règlement Considérant 131 | |
|
Texte proposé par la Commission |
Amendement |
|
(131) La procédure d'examen devrait être appliquée pour l'établissement des formulaires types en vue de l'obtention du consentement d'un enfant; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; des formulaires types et des procédures pour le droit d'accès et le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes sont de portée générale. |
(131) La procédure d'examen devrait être appliquée pour l'établissement des formulaires types en vue de l'obtention du consentement d'un enfant; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; des formulaires types et des procédures pour le droit d'accès; des formulaires types concernant les obligations du responsable du traitement en matière de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; des divulgations non autorisées par le droit de l'Union; de l'assistance mutuelle; des opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes sont de portée générale. |
Amendement 47 Proposition de règlement Considérant 139 | |
|
Texte proposé par la Commission |
Amendement |
|
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n'apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l'Union européenne, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique, |
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n'apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits consacrés par la Charte des droits fondamentaux de l'Union européenne, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l'Union européenne, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique, |
Amendement 48 Proposition de règlement Article 2 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) par les institutions, organes et organismes de l'Union; |
supprimé |
Justification | |
Pour s'assurer la confiance des citoyens, tous les secteurs doivent protéger les données aussi bien les uns que les autres. Si des violations de données dans le secteur public entament la confiance des citoyens, ceci aura un effet néfaste sur les activités du secteur privé en matière de TIC et vice-versa. Il en va de même avec les institutions de l'Union. | |
Amendement 49 Proposition de règlement Article 2 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques; |
d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques et lorsque les données à caractère personnel ne sont pas rendues accessibles à un nombre indéfini de personnes; |
Justification | |
Il convient de clarifier le champ d'application de cette exception, notamment en raison de l'essor des réseaux sociaux qui permettent le partage d'informations avec des centaines de personnes. La CJUE (affaires C-101/01 et C-73/07) préconise l'accessibilité "par un nombre indéfini de personnes" comme critère d'application de cette exception. Le CEPD est du même avis. | |
Amendement 50 Proposition de règlement Article 2 – paragraphe 2 – point d bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
d bis) qui ont été rendues suffisamment anonymes, au sens de l'article 4, paragraphe 2bis; |
Justification | |
Clarification dans le corps du texte du considérant 23 qui mentionne le cas des données rendues suffisamment anonymes et auxquelles il n'y a pas lieu d'appliquer les dispositions de la présente directive. | |
Amendement 51 Proposition de règlement Article 2 – paragraphe 2 – point e bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e bis) dans les domaines couverts par les articles 153, 154 et 155 du traité sur le fonctionnement de l'Union européenne en ce qui concerne la réglementation du recrutement ainsi que la conclusion et la conformité des conventions collectives. |
Amendement 52 Proposition de règlement Article 2 – paragraphe 2 – point e ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e ter) d'une personne physique et qui sont rendues publiques au cours de l'exercice des obligations professionnelles, telles que le nom, les coordonnées et la fonction; |
Amendement 53 Proposition de règlement Article 2 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires. |
3. Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires, ainsi que des dispositions spécifiques du droit de l'Union ou des États membres liées au traitement des données, en particulier en ce qui concerne les intérêts juridiquement protégés, lorsque celles-ci prévoient une protection plus stricte que les dispositions du présent règlement. |
Amendement 54 Proposition de règlement Article 3 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union. |
1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou pas dans l'Union. |
Amendement 55 Proposition de règlement Article 3 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou |
a) à l'offre de biens et de services à ces personnes concernées dans l'Union, y compris les services fournis à titre gratuit; ou |
Justification | |
Cet ajout montre que l'objectif visé n'entre pas en ligne de compte pour l'application de ce règlement, et que les services gratuits ou à but non lucratif sont soumis aux mêmes obligations que les autres acteurs, si leur activité relève de conditions similaires. | |
Amendement 56 Proposition de règlement Article 3 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) à l'observation de leur comportement. |
b) à l'observation du comportement de ces personnes concernées dans l'objectif de leur proposer des biens ou services. |
Amendement 57 Proposition de règlement Article 3 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Le présent règlement s'applique au traitement des données à caractère personnel de personnes concernées ne résidant pas sur le territoire de l'Union, par un responsable du traitement ou un sous-traitant établi dans l'Union, du fait de leurs activités économiques dans un ou plusieurs pays tiers. |
Justification | |
Les entreprises ou employeurs de l'Union ne devraient pas être autorisés à accéder illégalement aux données à caractère personnel de leurs employés dans le but de surveiller leur comportement, de les inscrire sur une liste noire en raison de leur affiliation syndicale, etc., que l'employé réside ou pas dans l'Union. | |
Amendement 58 Proposition de règlement Article 4 – point 1 | |
|
Texte proposé par la Commission |
Amendement |
|
(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
Justification | |
Respect du principe de neutralité technologique | |
Amendement 59 Proposition de règlement Article 4 – point 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(2 bis) "données anonymes": toutes les données à caractère personnel ayant été recueillies, modifiées ou traitées de manière qu'il ne soit plus possible de les attribuer à une personne concernée; les données anonymes ne sont pas considérées comme des données à caractère personnel; |
Justification | |
Les entreprises devraient être incitées à rendre les données anonymes, ce qui renforcera au bout du compte la protection de la vie privée des consommateurs. Les modifications proposées visent à clarifier la signification de "données anonymes" et, conformément au considérant 23, à exclure explicitement de telles données du champ d'application du règlement. Cette définition est extraite de l'article 3, point 6, de la loi fédérale allemande sur la protection des données à caractère personnel. | |
Amendement 60 Proposition de règlement Article 4 – point 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(3 bis) "profilage": toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement; |
Amendement 61 Proposition de règlement Article 4 – point 3 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(3 ter) "données pseudonymes": toutes les données à caractère personnel ayant été recueillies, modifiées ou traitées de manière qu'il ne soit pas possible de les attribuer telles quelles à une personne concernée sans utiliser des données supplémentaires soumises à des contrôles techniques et organisationnels séparés et distincts pour garantir qu'une telle attribution n'aura pas lieu, ou de manière qu'une telle attribution nécessiterait un délai, une dépense et un effort disproportionnés; |
Justification | |
Le présent amendement fait partie d'une série d'amendements qui visent à permettre l'utilisation de données pseudonymes et anonymes et qui favoriseront l'application de bonnes pratiques commerciales, propres à préserver les intérêts des personnes concernées. Le fait de ne pas pouvoir rattacher les données à caractère personnel à la personne concernée (étant donné qu'il n'est pas possible de remonter jusqu'à elle sans utiliser des données supplémentaires) contribue à promouvoir davantage l'utilisation professionnelle des données tout en assurant un niveau élevé de protection des consommateurs. | |
Amendement 62 Proposition de règlement Article 4 – point 5 | |
|
Texte proposé par la Commission |
Amendement |
|
(5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
(5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités du traitement de données à caractère personnel; lorsque les finalités du traitement sont déterminées par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
Justification | |
Avec les nouvelles technologies et services disponibles, tels que l'informatique en nuage, la division traditionnelle des entités participant au traitement de données à caractère personnel peut s'avérer difficile, le sous-traitant exerçant dans de tels cas une influence significative sur la manière dont les données sont traitées. C'est pourquoi il semble raisonnable de désigner le responsable du traitement comme entité décidant de la finalité du traitement de données à caractère personnel, la détermination de cette finalité étant la décision la plus importante, les autres facteurs servant de moyen pour atteindre cette finalité. | |
Amendement 63 Proposition de règlement Article 4 – point 8 | |
|
Texte proposé par la Commission |
Amendement |
|
(8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement; |
(8) "consentement de la personne concernée": toute manifestation de volonté libre, qui doit être spécifique, informée et aussi explicite que possible selon le contexte, par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, et de manière explicite lorsque les données visées à l'article 9, paragraphe 1, doivent être traitées, que des données à caractère personnel la concernant fassent l'objet d'un traitement; |
Amendement 64 Proposition de règlement Article 4 – point 9 | |
|
Texte proposé par la Commission |
Amendement |
|
(9) "violation de données à caractère personnel": une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière; |
(9) "violation de données à caractère personnel": une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière; les données fortement chiffrées, lorsqu'il est prouvé que la clé de chiffrement n'a pas été compromise, ne relèvent pas du présent règlement; |
Justification | |
La perte de données qui ont été chiffrées à l'aide d'un chiffrement solide et lorsque la clé de chiffrement n'est pas perdue ne présente aucun risque de préjudice pour les personnes physiques. Les données ne peuvent tout simplement pas être lues. Lorsque des données ne peuvent pas être lues, il ne semble pas raisonnable de les traiter de la manière prévue aux articles 31 et 32. La notification n'apporte aucune amélioration aux citoyens en matière de respect de la vie privée dans une telle situation. | |
Amendement 65 Proposition de règlement Article 4 – point 13 | |
|
Texte proposé par la Commission |
Amendement |
|
(13) "établissement principal": en ce qui concerne le responsable du traitement, le lieu de son établissement dans l'Union où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; si aucune décision de ce type n'est prise dans l'Union, l'établissement principal est le lieu où sont exercées les principales activités de traitement dans le cadre des activités d'un établissement d'un responsable du traitement dans l'Union; en ce qui concerne le sous-traitant, on entend par "établissement principal" le lieu de son administration centrale dans l'Union; |
(13) "établissement principal": la localisation indiquée par l'entreprise ou le groupe d'entreprises, qu'il s'agisse du responsable du traitement ou du sous-traitant, dans le respect du mécanisme de contrôle de la cohérence visé à l'article 57, sur la base des critères objectifs facultatifs suivants, mais sans s'y limiter: |
|
|
a) la localisation du siège européen d'un groupe d'entreprises; |
|
|
b) la localisation de l'entité au sein d'un groupe d'entreprises à laquelle ont été déléguées des responsabilités en matière de protection des données; |
|
|
c) la localisation de l'entité au sein du groupe qui est la mieux placée en termes de fonctions de direction et de responsabilités administratives pour s'occuper des règles exposées dans le présent règlement et les faire appliquer; ou |
|
|
d) le lieu où les activités effectives et réelles de direction sont exercées, et qui déterminent le traitement des données dans le cadre d'une installation stable. |
|
|
L'autorité compétente est informée par l'entreprise ou le groupe d'entreprises de la désignation de l'établissement principal; |
Justification | |
La définition proposée d'"établissement principal" est trop vague et laisse trop de possibilités d'interprétations divergentes. Il est nécessaire de disposer d'un critère uniforme pour déterminer quel est l'établissement principal d'une organisation, qui peut s'appliquer aux "entreprises/groupes d'entreprises" comme point de référence pertinent se fondant sur un ensemble de critères objectifs pertinents. Ces critères sont utilisés pour déterminer l'autorité de contrôle pour les règles d'entreprise contraignantes et ont par conséquent fait la preuve qu'ils étaient applicables. | |
Amendement 66 Proposition de règlement Article 5 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
Justification | |
Cette modification, qui permet un traitement "non excessif", est plus appropriée. Elle consiste en une référence à la formulation de la directive originale 95/46/CE sur la protection des données et vise à éviter les incohérences avec d'autres règles de l'Union, telles que la directive sur le crédit à la consommation et le paquet législatif relatif aux exigences en matière de fonds propres, qui exigent également des institutions de prêt, par exemple, de traiter des données à caractère personnel. | |
Amendement 67 Proposition de règlement Article 5 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées aux articles 81 et 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
Justification | |
Il devrait également être possible de conserver des données à caractère personnel pendant des périodes plus longues à des fins de santé publique (article 81) ainsi qu'à des fins de recherche historique, statistique et scientifique (article 83), qui est déjà évoquée dans le texte de la Commission. Ceci garantira que toutes les données pertinentes sont disponibles pour apporter le soin le plus approprié à la personne concernée. | |
Amendement 68 Proposition de règlement Article 6 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; |
c) le traitement est nécessaire au respect d'une obligation légale ou d'un droit légal, nationaux ou européens, auxquels le responsable du traitement est soumis ou pour éviter une violation d'une telle obligation ou d'un tel droit, y compris l'exécution d'une mission effectuée pour évaluer la solvabilité ou à des fins de prévention et de détection de la fraude; |
Amendement 69 Proposition de règlement Article 6 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; |
e) le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ou à l'exécution d'une mission effectuée pour évaluer la solvabilité ou à des fins de prévention et de détection de la fraude; |
Amendement 70 Proposition de règlement Article 6 – paragraphe 1 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un ou des responsables du traitement ou par le ou les tiers auxquels les données sont divulguées, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
Justification | |
This amendment seeks to regulate the situation when a third pary has a legitimate interest to process data, in line with the current Directive directive 95/46/EC which recognizes the legitimate interest of a third party. This is for example the case in some Member States where the social partners regulate wages and other work conditions through collective agreements. Trade unions negotiate with employers to ensure a common set of rights that apply to all employees at a workplace, regardless of whether or not they are union members. In order for this system to function the unions must have the possibility to monitor the observance of collective agreements. | |
Amendement 71 Proposition de règlement Article 6 – paragraphe 1 – point f bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f bis) les données sont recueillies depuis des registres, des listes ou des documents publics accessibles à tous; |
Amendement 72 Proposition de règlement Article 6 – paragraphe 1 – point f ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f ter) le traitement de données, entre autres d'informations de membres d'une organisation, qui est effectué par l'organisation en question dans le respect de ses règles statutaires, est d'une importance primordiale pour le responsable du traitement des données dans des organisations fondées sur une participation volontaire. |
Amendement 73 Proposition de règlement Article 6 – paragraphe 1 – point f quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f quater) le traitement est nécessaire à des fins de détection et de prévention de la fraude conformément au règlement financier applicable ou au code de bonnes pratiques reconnu d'un secteur d'activité ou d'un organisme professionnel. |
Justification | |
L'expérience pratique a montré qu'une "obligation légale" n'inclut pas le règlement financier ou les codes de conduite nationaux qui sont fondamentaux pour la prévention et la détection de la fraude, et qui sont d'une importance capitale pour les responsables du traitement des données et pour la protection des personnes concernées. | |
Amendement 74 Proposition de règlement Article 6 – paragraphe 1 – point f quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f quinquies) le traitement est nécessaire pour défendre un intérêt, recueillir des preuves à visée judiciaire ou engager un recours. |
Amendement 75 Proposition de règlement Article 6 – paragraphe 1 – point f sexies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f sexies) seules des données pseudonymes sont traitées. |
Justification | |
Le présent amendement fait partie d'une série d'amendements qui visent à permettre l'utilisation de données pseudonymes et anonymes et qui favoriseront l'application de bonnes pratiques commerciales, propres à préserver les intérêts des personnes concernées. Le fait de ne pas pouvoir rattacher les données à caractère personnel à la personne concernée (étant donné qu'il n'est pas possible de remonter jusqu'à elle sans utiliser des données supplémentaires) contribue à promouvoir davantage l'utilisation professionnelle des données tout en assurant un niveau élevé de protection des consommateurs. | |
Amendement 76 Proposition de règlement Article 6 – paragraphe 3 – alinéa 2 | |
|
Texte proposé par la Commission |
Amendement |
|
La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, être respectueuse du contenu essentiel du droit à la protection des données à caractère personnel et proportionnée à l'objectif légitime poursuivi. |
La législation de l'État membre doit répondre à un objectif d'intérêt général ou être nécessaire à la protection des droits et libertés d'autrui. La législation de l'État membre doit également respecter le présent règlement et les traités internationaux auxquels l'État membre a décidé d'adhérer. Enfin, l'État membre est tenu d'évaluer et de décider si la législation nationale est proportionnée à l'objectif légitime poursuivi ou si un objectif légitime pourrait être atteint au moyen de solutions portant moins atteinte à la vie privée. |
Justification | |
Article 6, paragraph 1, point e states that processing is lawful if: “processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller”. Seen in connection with paragraph 3, this leaves Member States a very wide margin for eroding citizens' protection of data mentioned in this regulation using national legislation. The harmonisation among Member States will be under pressure because national interests will result in many different examples of legislation. Citizens' data will be processed differently in the different countries. | |
Amendement 77 Proposition de règlement Article 6 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées, le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1. Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
Justification | |
Prévoir un consentement dans son contexte et veiller à de bonnes expériences de respect de la vie privée est conforme aux objectifs des propositions relatives au considérant 25. | |
Amendement 78 Proposition de règlement Article 6 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 79 Proposition de règlement Article 7 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement. |
1. Lorsque le consentement est requis, la forme du consentement retenue pour le traitement de données à caractère personnel d'une personne concernée est proportionnée au type de données traitées, à la finalité du traitement et à tout risque détecté, et est déterminée par une analyse d'impact sur la protection des données. |
Amendement 80 Proposition de règlement Article 7 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. |
3. La personne concernée a le droit de retirer son consentement. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné ou dans les cas où une durée minimale obligatoire de conservation est prévue par la législation européenne ou nationale, ou lorsque des données sont traitées conformément à des dispositions réglementaires européennes et nationales, ou encore à des fins juridiques ou de lutte contre la fraude. La personne concernée doit communiquer au sous-traitant sa volonté de retirer son consentement. |
Amendement 81 Proposition de règlement Article 7 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement. |
supprimé |
Justification | |
Des termes tels que "déséquilibre significatif" sont susceptibles de causer une incertitude juridique. En outre, ils sont inutiles parce que la législation en matière contractuelle, y compris celle relative à la protection des consommateurs, fournit suffisamment de garanties contre la fraude, les menaces, l'exploitation inéquitable, etc. et que ces garanties devraient s'appliquer également aux consentements au traitement de données à caractère personnel. | |
Amendement 82 Proposition de règlement Article 7 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. L'exécution d'un contrat ou la fourniture d'un service peut ne pas être soumise à la condition préalable du consentement au traitement ou à l'utilisation de données qui n'est pas nécessaire à l'exécution du contrat ou à la fourniture du service, conformément à l'article 6, paragraphe 1, point b). |
Amendement 83 Proposition de règlement Article 7 – paragraphe 4 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 ter. Le présent article ne s'applique pas lorsque le consentement de la personne concernée est requis par la loi. |
Amendement 84 Proposition de règlement Article 7 – paragraphe 4 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 quater. L'accès à un consentement donné en vertu de l'article 6, paragraphe 1, point a), et de l'article 9, paragraphe 2, point a), peut être limité aux cas où des règles internes d'organisations en matière de prévention de la fraude et de la criminalité, conformément à la législation de l'État membre concerné, sont appliquées. |
Amendement 85 Proposition de règlement Article 7 – paragraphe 4 quinquies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 quinquies. La législation de l'État membre où réside une personne qui ne dispose pas de la capacité juridique à agir s'applique pour déterminer les conditions dans lesquelles le consentement est donné ou autorisé par ladite personne. |
Amendement 86 Proposition de règlement Article 7 – paragraphe 4 sexies (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 sexies. Cette disposition ne s'applique pas au droit de l'employeur de traiter des données en se fondant sur le consentement donné par l'employé ni au droit des autorités publiques de traiter des données en se fondant sur le consentement donné par le citoyen. |
Amendement 87 Proposition de règlement Article 8 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Aux fins du présent règlement, s'agissant de l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles. |
1. Aux fins du présent règlement, s'agissant de l'offre directe de biens et de services aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles, sans entraîner de traitement inutile de données à caractère personnel. |
Amendement 88 Proposition de règlement Article 8 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Les informations fournies pour demander d'exprimer le consentement devaient être formulées dans un langage clair et approprié au regard de l'âge, d'une manière facile à comprendre pour un enfant de plus de 13 ans. |
Amendement 89 Proposition de règlement Article 8 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. Les dispositions des paragraphes 1, 1 bis, 2 et 3 ne s'appliquent pas lorsque le traitement de données à caractère personnel d'un enfant concerne des données de santé et lorsque la législation de l'État membre concerné dans le domaine de la santé et des services sociaux fait primer la capacité d'une personne par rapport à son âge physique. |
Justification | |
Dans le contexte de la santé et des services sociaux, l'autorisation d'un parent ou du tuteur d'un enfant ne devrait pas être nécessaire lorsque l'enfant a la capacité de prendre une décision le concernant. Dans les cas relevant de la protection de l'enfance, il n'est pas toujours dans l'intérêt de la personne concernée que ses parents ou son tuteur aient accès à ses données, ce qui devrait être exprimé dans la législation. | |
Amendement 90 Proposition de règlement Article 9 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance et les activités syndicales, d'importants problèmes sociaux, des informations d'ordre privé ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
Justification | |
Au Danemark, les catégories particulières de données pour lesquelles on exige le plus de protection sont plus vastes que ce que propose le règlement. Il en résulte que ce règlement protège moins les citoyens danois que leur législation actuelle. C'est pourquoi il est suggéré d'inclure dans les catégories particulières les "importants problèmes sociaux" ainsi que les "informations privées". | |
Amendement 91 Proposition de règlement Article 9 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; ou |
a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée. Cela comprendrait en particulier des garanties permettant de prévenir l'inscription de travailleurs sur une liste noire, par exemple en relation avec leurs activités syndicales ou leur rôle de représentants dans le domaine de la santé et de la sécurité; ou |
Amendement 92 Proposition de règlement Article 9 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale prévoyant des garanties appropriées; ou |
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union, par une législation nationale ou par des conventions collectives sur le marché du travail prévoyant des garanties appropriées; ou |
Amendement 93 Proposition de règlement Article 9 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou |
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association, des organisations sur le marché du travail ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement des personnes concernées; ou |
Amendement 94 Proposition de règlement Article 9 – paragraphe 2 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou |
e) le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée ou qui sont librement transmises au responsable du traitement à l'initiative de la personne concernée, et qui sont traitées aux fins spécifiques déterminées par la personne concernée et dans son intérêt; ou |
Amendement 95 Proposition de règlement Article 9 – paragraphe 2 – point j | |
|
Texte proposé par la Commission |
Amendement |
|
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous la surveillance de l'autorité de surveillance compétente, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire européenne ou nationale ou de conventions collectives sur le marché du travail auxquelles le responsable du traitement est soumis ou pour éviter une violation d'une telle obligation ou convention collective, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
Justification | |
Il importe que les organisations d'employeurs et d'employés (syndicats) puissent continuer à l'avenir à négocier ensemble et à élaborer des conventions collectives qui soient conformes à la culture, à la tradition, à la compétitivité et à la situation économique nationales. | |
Amendement 96 Proposition de règlement Article 9 – paragraphe 2 – point j bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
j bis) le traitement de données à caractère personnel relatives à des condamnations ou à des mesures de sûreté connexes est effectué dans le contexte de bases de données qui contiennent des données sur les fraudes commises au détriment des établissements de crédit ou de membres d'autres groupes financiers réglementés par la législation européenne ou nationale, et établies par des établissements financiers afin de prévenir la fraude. Les restrictions au traitement de données relatives aux condamnations ne devraient pas s'appliquer aux données relatives à des infractions pénales. |
Amendement 97 Proposition de règlement Article 9 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2. |
supprimé |
Amendement 98 Proposition de règlement Article -11 (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article -11 |
|
|
Principes généraux en matière de droits des personnes concernées |
|
|
1. Les droits clairs et univoques d'une personne concernée vis-à-vis du responsable du traitement constituent le fondement de la protection des données. Les dispositions du présent règlement visent à renforcer, à clarifier, à garantir et, le cas échéant, à codifier ces droits. |
|
|
2. Ces droits comprennent notamment la fourniture d'informations claires et aisément compréhensibles au sujet des politiques du responsable du traitement des données, relatives aux droits des personnes concernées en matière d'accès, de rectification et d'effacement de leurs données, au droit à la portabilité des données et au droit à s'opposer au profilage; ces informations indiquent également que ces droits doivent en général être exercés gratuitement et que le responsable du traitement donnera suite aux demandes de la personne concernée dans un délai raisonnable. |
Amendement 99 Proposition de règlement Article 11 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, adaptés à la personne concernée, en particulier lorsqu'une information est adressée spécifiquement à un enfant. |
2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant. |
Justification | |
L'information et la communication relatives au traitement des données doivent être claires et intelligibles. La mention "adaptés à la personne concernée" risque de créer une insécurité juridique. Il paraît proportionné d'imposer une obligation particulière uniquement à l'égard des enfants qui constituent une catégorie spécifique. | |
Amendement 100 Proposition de règlement Article 11 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Les informations à destination des personnes concernées sont mises à disposition dans un format leur fournissant les informations nécessaires pour comprendre leur position et prendre des décisions de façon appropriée. Des informations exhaustives sont disponibles sur demande. Le responsable du traitement veille par conséquent à la transparence de l'information et de la communication dans ses politiques en matière de protection des données à l'aide d'un mode de description aisément compréhensible basé sur des icônes pour les différentes étapes du traitement de données. |
Amendement 101 Proposition de règlement Article 12 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement établit les procédures d'information prévues à l'article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l'introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. |
1. Le responsable du traitement établit les procédures d'information prévues à l'article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l'introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement doit également fournir les moyens d'effectuer des demandes par voie électronique. Les procédures visées au présent article peuvent être des procédures déjà établies par les autorités publiques des États membres, à condition que lesdites procédures soient conformes aux dispositions du présent règlement. |
Amendement 102 Proposition de règlement Article 12 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement ou que le responsable du traitement ait des raisons de croire que le fait de fournir ces informations sous forme électronique entraînerait un risque important de fraude. |
Justification | |
Le fait de divulguer certaines données sous forme électronique, comme des dossiers de crédit, pourrait entraîner la modification ou le vol d'identité, lorsqu'elles sont fournies aux consommateurs. La divulgation de données de sociétés d'information financière devrait être soumise à la condition préalable d'une authentification qui remplisse les critères énoncés par la société détenant les données afin de prévenir l'interception, l'abus, l'utilisation frauduleuse ou la modification des données. | |
Amendement 103 Proposition de règlement Article 12 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables pour fournir les informations ou pour prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
Amendement 104 Proposition de règlement Article 12 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4. |
supprimé |
Justification | |
Il n'y a pas lieu de préciser davantage cette disposition par un acte délégué. Les autorités de contrôle des États membres sont mieux placées pour remédier aux éventuelles difficultés. | |
Amendement 105 Proposition de règlement Article 12 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Justification | |
Les autorités de contrôle des États membres sont mieux placées pour remédier aux éventuelles difficultés. | |
Amendement 106 Proposition de règlement Article 13 | |
|
Texte proposé par la Commission |
Amendement |
|
Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises toute rectification ou effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. |
Toute rectification ou tout effacement effectués conformément aux articles 16 et 17 s'applique également à chaque destinataire à qui les données ont été transmises sans l'accord de la personne concernée. |
Justification | |
La vente d'une base de données à un tiers ne libère pas le responsable du traitement de ses obligations. Si, par contre, la personne concernée a volontairement ou délibérément transmis des données par l'intermédiaire du responsable du traitement, celui-ci n'en porte pas la responsabilité. | |
Amendement 107 Proposition de règlement Article 14 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 14 bis |
|
|
Vérification de l'identité des personnes concernées |
|
|
Le responsable du traitement doit veiller à ce qu'une documentation suffisante sur l'identité de la personne concernée a été reçue lorsqu'elle fait valoir les droits visés aux articles 14 à 19 du présent règlement. |
Justification | |
Le présent règlement donne de nouveaux droits aux citoyens. Toutefois, il n'est indiqué nulle part comment les citoyens devraient faire la preuve de leur identité pour faire valoir ces droits. Il importe que l'identité des citoyens soit appuyée par une documentation et potentiellement mise en doute par le responsable du traitement pour s'assurer qu'aucune forme de vol d'identité ne puisse avoir lieu. | |
Amendement 108 Proposition de règlement Article 14 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne au moins les informations suivantes: |
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement doit fournir à cette personne les informations suivantes: |
Amendement 109 Proposition de règlement Article 14 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) la durée pendant laquelle les données à caractère personnel seront conservées; |
c) les critères et/ou obligations légales permettant de déterminer la durée pendant laquelle les données à caractère personnel seront conservées, pour chacune des finalités; |
Justification | |
Il n'est pas toujours possible de déterminer avec précision la durée exacte de conservation des données à caractère personnel, notamment en cas de conservation pour différentes finalités. | |
Amendement 110 Proposition de règlement Article 14 – paragraphe 1 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées. |
h) toute autre information jugée nécessaire par le responsable du traitement pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées. |
Justification | |
Il faut clarifier la portée de cette disposition et préciser que des responsables du traitement peuvent assurer un niveau plus élevé de transparence. | |
Amendement 111 Proposition de règlement Article 14 – paragraphe 5 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés; ou |
b) les données sont destinées uniquement à un usage au titre de l'article 83 et ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés et génèrerait une charge administrative excessive, en particulier lorsque le traitement est réalisé par une PME telle que définie dans la recommandation 2003/361/CE; ou |
Justification | |
Cette disposition vient tout droit de l'article 11, paragraphe 2, de la directive 95/46/CE. Toutefois, sans cette précision, elle aurait entraîné une lacune dans la protection du consommateur. Cet amendement rétablit l'adéquation de la formulation à l'intention originelle. | |
Amendement 112 Proposition de règlement Article 14 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 113 Proposition de règlement Article 15 – paragraphe 1 – alinéa 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Sur demande, gratuitement et dans un délai raisonnable, le responsable du traitement des données fournit également la preuve de la licéité du traitement. |
Justification | |
Si le responsable du traitement fournit la preuve directement à la personne concernée, le nombre d'actions en justice devrait baisser. | |
Amendement 114 Proposition de règlement Article 15 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement ou faisant l'objet d'un profilage. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. Le responsable du traitement prend toutes les mesures raisonnables afin de s'assurer de l'identité d'une personne concernée demandant l'accès aux données. |
Justification | |
Notamment lorsque la demande est introduite sous forme électronique, le droit d'accès ne doit pas donner lieu à des abus. Par conséquent, le responsable du traitement doit s'assurer de l'identité de la personne demandant l'accès aux données et doit pouvoir prouver qu'il a agi avec diligence. | |
Amendement 115 Proposition de règlement Article 15 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g). |
supprimé |
Justification | |
Il ne semble pas nécessaire de maintenir ce paragraphe. | |
Amendement 116 Proposition de règlement Article 15 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. Sous réserve des garanties légales nécessaires, excluant notamment que les données puissent être utilisées aux fins de mesures ou de décisions se rapportant à des personnes précises, les États membres peuvent, dans les cas où il n'existe aucun risque d'atteinte à la vie privée, limiter par voie législative les droits prévus à l'article 15 uniquement si ces droits sont traités dans le cadre de recherches scientifiques conformément à l'article 83 du présent règlement ou si ces données à caractère personnel sont conservées pendant la durée nécessaire à l'établissement de statistiques. |
Justification | |
Voir l'article 13, paragraphe 2, de la directive 95/46/CE, JO L 281 du 23.11.1995. | |
Amendement 117 Proposition de règlement Article 16 – alinéa 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Le premier alinéa ne s'applique pas aux données pseudonymes. |
Justification | |
Le présent amendement fait partie d'une série d'amendements qui visent à permettre l'utilisation de données pseudonymes et anonymes et qui favoriseront l'application de bonnes pratiques commerciales, propres à préserver les intérêts des personnes concernées. Le fait de ne pas pouvoir rattacher les données à caractère personnel à la personne concernée (étant donné qu'il n'est pas possible de remonter jusqu'à elle sans utiliser des données supplémentaires) contribue à promouvoir davantage l'utilisation professionnelle des données tout en assurant un niveau élevé de protection des consommateurs. | |
Amendement 118 Proposition de règlement Article 17 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Droit à l'oubli numérique et à l'effacement |
Droit à l'effacement |
Justification | |
Le titre proposé par la Commission risque d'induire en erreur. | |
Amendement 119 Proposition de règlement Article 17 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19; |
c) la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19 et l'opposition est fondée; |
Justification | |
Le présent amendement vise à garantir qu'une personne concernée ne puisse pas s'opposer au traitement de données en vertu de l'article 19, en déclenchant ainsi l'application du principe du droit à l'oubli, lorsque l'opposition n'est pas fondée. | |
Amendement 120 Proposition de règlement Article 17 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. |
2. Lorsque le responsable du traitement visé au paragraphe 1 a transféré les données à caractère personnel ou les a rendues publiques sans le consentement de la personne concernée, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque les données ont fait l'objet d'un transfert, le responsable du traitement ayant effectué celui‑ci informe les responsables du traitement auxquels il a transféré les données que la personne concernée demande l'effacement de ses données à caractère personnel, de tout lien vers celles‑ci ou de toute copie ou reproduction desdites données. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. |
Justification | |
Cette disposition vise particulièrement la transmission de données qui ont fait l'objet d'une demande d'effacement. Il convient d'expliciter que, si c'est la personne concernée qui a rendu les données publiques, qui a demandé au responsable du traitement de ce faire, ou qui l'a fait par l'intermédiaire du responsable du traitement, alors la responsabilité de leur effacement continue d'incomber à la personne concernée. Par contre, il incombe au responsable du traitement d'appliquer cette disposition dans le cas de données qu'il a sciemment transmises ou mises à disposition de tiers qui ne sont pas en relation avec la personne concernée. | |
Amendement 121 Proposition de règlement Article 17 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Le responsable du traitement visé au paragraphe 1 informe, lorsque c'est possible, la personne concernée des suites données à sa demande par les tiers visés au paragraphe 2. |
Justification | |
Il faut renforcer les droits accordés à la partie concernée. L'article 17, paragraphe 2 impose une obligation de moyens au responsable du traitement. Cette obligation doit, à tout le moins, être assortie d'un devoir d'information portant sur les suites qui sont données par les tiers qui traitent les données à caractère personnel en question. | |
Amendement 122 Proposition de règlement Article 17 – paragraphe 3 – points e bis et e ter (nouveaux) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e bis) à des fins de prévention ou de détection de fraudes ou d'autres délits financiers, de confirmation d'identité et/ou pour déterminer la solvabilité; |
|
|
e ter) à des fins de conservation de preuves documentaires sur un dossier donné, lorsque le responsable du traitement des données est une autorité publique. |
Justification | |
Il ne serait pas opportun que des personnes puissent effacer les données les concernant qui sont conservées pour des motifs légitimes conformément à la législation en vigueur. | |
Amendement 123 Proposition de règlement Article 17 – paragraphe 9 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
9. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser: |
9. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, après avoir demandé un avis du comité européen de la protection des données, aux fins de préciser: |
Amendement 124 Proposition de règlement Article 18 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Justification | |
Une fois la nécessité de portabilité du format établie, le marché peut fournir ce format sans que la Commission ait à intervenir. | |
Amendement 125 Proposition de règlement Article 19 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), à moins que le responsable du traitement n'établisse l'existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
1. La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), à moins que le responsable du traitement n'établisse l'existence de raisons légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. |
Justification | |
Le présent amendement vise à établir que des motifs légitimes devraient suffire à justifier le traitement des données, conformément à l'article 6. | |
Amendement 126 Proposition de règlement Article 19 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations. |
2. Lorsque les données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée a le droit de s'opposer au traitement de ses données à caractère personnel en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible pour elle et doit pouvoir être clairement distingué d'autres informations. |
Amendement 127 Proposition de règlement Article 19 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées. |
3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées aux fins définies dans l'opposition. |
Amendement 128 Proposition de règlement Article 19 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Lorsque des données sous pseudonyme sont traitées sur la base de l'article 6, paragraphe 1, point g), la personne concernée a le droit de s'opposer, gratuitement, au traitement. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations. |
Justification | |
Le présent amendement fait partie d'une série d'amendements qui visent à permettre l'utilisation de données pseudonymes et anonymes et qui favoriseront l'application de bonnes pratiques commerciales, propres à préserver les intérêts des personnes concernées. Le fait de ne pas pouvoir rattacher les données à caractère personnel à la personne concernée (étant donné qu'il n'est pas possible de remonter jusqu'à elle sans utiliser des données supplémentaires) contribue à promouvoir davantage l'utilisation professionnelle des données tout en assurant un niveau élevé de protection des consommateurs. | |
Amendement 129 Proposition de règlement Article 20 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Mesures fondées sur le profilage |
Mesures fondées sur le traitement automatisé |
Justification | |
L'article 20 concerne le traitement automatisé plutôt que le profilage. Le titre de cet article devrait dès lors être modifié pour se lire "Mesures fondées sur le traitement automatisé". | |
Amendement 130 Proposition de règlement Article 20 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. |
1. Une personne concernée n'est pas soumise à une décision inéquitable ou discriminatoire, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne. |
Justification | |
Sous sa forme actuelle, l'article 20 ne reconnaît pas les utilisations positives du profilage et ne tient pas compte des degrés variables de risque ou d'impact sur la vie privée des personnes, qui sont liés au profilage. En mettant l'accent sur les techniques qui sont "inéquitables" ou "discriminatoires" au sens de la directive 2005/29/CE, l'approche proposée est plus neutre sur le plan technologique et se concentre sur les utilisations négatives des techniques de profilage plutôt que sur la technologie elle-même. | |
Amendement 131 Proposition de règlement Article 20 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement: |
supprimé |
|
a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d'obtenir une intervention humaine; ou |
|
|
b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou |
|
|
c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées. |
|
Justification | |
Suppression découlant de l'amendement proposé au paragraphe 1. | |
Amendement 132 Proposition de règlement Article 20 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l'article 9. |
3. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ne saurait être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées aux articles 8 et 9. |
Justification | |
Modification découlant de l'amendement proposé au paragraphe 1. | |
Amendement 133 Proposition de règlement Article 20 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l'existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée. |
supprimé |
Amendement 134 Proposition de règlement Article 20 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2. |
supprimé |
Amendement 135 Proposition de règlement Article 21 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Tout mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement. |
2. Toute mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux objectifs poursuivis par le traitement, aux finalités du traitement et aux modalités d'identification du responsable du traitement. |
Justification | |
Pour assurer un niveau plus élevé de protection, en cas de limitation, la législation doit mentionner également les objectifs poursuivis par le traitement des données à caractère personnel. | |
Amendement 136 Proposition de règlement Article 22 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Obligations incombant au responsable du traitement |
Principe général de responsabilité du responsable du traitement |
Justification | |
Le principe de responsabilité qui est implicitement introduit par le chapitre 4 de la proposition de règlement doit être explicitement mentionné pour assurer un niveau plus élevé de protection. | |
Amendement 137 Proposition de règlement Article 22 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises. |
supprimé |
Justification | |
Le texte est suffisamment clair pour ne nécessiter aucune précision supplémentaire. | |
Amendement 138 Proposition de règlement Article 23 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. |
1. Le cas échéant, des mesures contraignantes peuvent être adoptées pour garantir que certaines catégories de biens ou de services sont conçues et paramétrées par défaut pour répondre aux exigences du présent règlement relatives à la protection des personnes à l'égard du traitement des données à caractère personnel. Ces mesures se fondent sur une normalisation conformément au [règlement .../2012 du Parlement européen et du Conseil relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE et la décision n° 1673/2006/CE]. |
Justification | |
Le présent amendement fait partie d'une série d'amendements qui visent à reconnaître que, si la protection des données dès la conception et par défaut est un concept dont il convient de se féliciter, la proposition de la Commission n'offre pas un degré suffisant de certitude et risque de conduire à des restrictions à la libre circulation. Par conséquent, il convient de recourir au mécanisme de normalisation en place, tel qu'élaboré dans le cadre du "paquet de mesures sur la normalisation", pour harmoniser les exigences applicables et permettre la libre circulation. | |
Amendement 139 Proposition de règlement Article 23 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Il convient que le responsable du traitement procède à l'anonymisation ou à la pseudonymisation des données à caractère personnel lorsque c'est possible et proportionné au regard de la finalité du traitement. |
Amendement 140 Proposition de règlement Article 23 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques. |
2. Dans l'attente de l'adoption de mesures contraignantes conformément au paragraphe 1, les États membres veillent à ce que les biens ou services liés à la protection des personnes en ce qui concerne le traitement des données à caractère personnel ne soient soumis à aucune exigence contraignante de protection dès la conception ou par défaut susceptible de faire obstacle à la mise sur le marché d'équipements ou à la libre circulation de ces biens et services à l'intérieur des États membres et entre ceux-ci. |
Justification | |
Le présent amendement fait partie d'une série d'amendements qui visent à reconnaître que, si la protection des données dès la conception et par défaut est un concept dont il convient de se féliciter, la proposition de la Commission n'offre pas un degré suffisant de certitude et risque de conduire à des restrictions à la libre circulation. Il convient dès lors de recourir au mécanisme de normalisation en place pour harmoniser les exigences applicables et de permettre la libre circulation. | |
Amendement 141 Proposition de règlement Article 23 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l'ensemble des secteurs, produits et services. |
supprimé |
Justification | |
Cette proposition de règlement s'applique à tous les secteurs tant en ligne que hors ligne. Il n'appartient pas à la Commission d'adopter des actes délégués en matière de protection des données dès la conception et par défaut qui risqueraient de porter atteinte à l'innovation technologique. Les autorités de contrôle des États membres et le comité européen de protection des données sont mieux placés pour remédier aux difficultés éventuelles. | |
Amendement 142 Proposition de règlement Article 23 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Justification | |
Cette proposition de règlement s'applique à tous les secteurs tant en ligne que hors ligne. Il n'appartient pas à la Commission d'établir des normes techniques qui risqueraient de porter atteinte à l'innovation technologique. Les autorités de contrôle des États membres et le comité européen de protection des données sont mieux places pour remédier aux difficultés éventuelles. | |
Amendement 143 Proposition de règlement Article 24 | |
|
Texte proposé par la Commission |
Amendement |
|
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. |
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. Lorsqu'une telle définition fait défaut ou n'est pas suffisamment claire, la personne concernée peut exercer ses droits auprès de l'un ou de l'autre des responsables du traitement, qui ont alors les mêmes obligations. |
Justification | |
Cet amendement protège davantage la personne concernée dans ce cas particulier. | |
Amendement 144 Proposition de règlement Article 26 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures. |
1. Lorsque le traitement est effectué pour son compte et implique le traitement de données qui permettraient au sous-traitant d'identifier raisonnablement la personne concernée, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures. Seul le responsable du traitement répond du respect des exigences du présent règlement. |
Justification | |
Lorsque, du fait de l'utilisation de techniques d'anonymisation appropriées, il n'est techniquement pas possible au sous-traitant d'identifier une personne concernée, l'article 26 ne s'applique pas. L'allègement des charges administratives incitera à investir dans des techniques d'anonymisation efficaces et à utiliser un solide régime d'accès restreint. Le principe fondamental voulant que la responsabilité primaire et directe du traitement incombe au responsable du traitement devrait être clairement énoncé dans cet article. | |
Amendement 145 Proposition de règlement Article 26 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement; |
supprimé |
Justification | |
L'obligation faite au sous-traitant d'obtenir l'autorisation préalable du responsable du traitement pour engager d'autres sous-traitants impose des charges sans offrir d'avantages clairs en termes de protection renforcée des données. En outre, cette obligation n'est pas réaliste dans le contexte de l'informatique en nuage, en particulier si elle est interprétée comme requérant une autorisation préalable pour recourir à des sous-traitants spécifiques. Il convient dès lors de supprimer cette exigence. | |
Amendement 146 Proposition de règlement Article 26 – paragraphe 2 – point h bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
h bis) Lorsqu'un sous-traitant traite des données pour le compte du responsable du traitement, il doit mettre en œuvre les principes de protection des données dès la conception et par défaut. |
Amendement 147 Proposition de règlement Article 26 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Le responsable du traitement est réputé avoir rempli les obligations énoncées au paragraphe 1 lorsqu'il choisit un sous-traitant qui a volontairement opté pour l'autocertification ou obtenu une certification, une marque ou un label conformément aux articles 38 ou 39 du présent règlement témoignant de la mise en œuvre de mesures techniques et organisationnelles types appropriées en réponse aux exigences énoncées dans le présent règlement. |
Justification | |
Le règlement à l'examen devrait inciter clairement les responsables du traitement et les sous-traitants à investir dans des mesures propres à renforcer la sécurité et la protection de la vie privée. Lorsque les responsables du traitement et les sous-traitants proposent, en matière de protection des données, des garanties supplémentaires qui sont conformes aux normes industrielles acceptées ou vont au-delà de celles-ci, et qu'ils peuvent en apporter la preuve au moyen de certificats probants, ils devraient faire l'objet d'exigences moins rigoureuses. En particulier, cela permettrait de ménager une certaine souplesse et d'alléger les charges qui pèsent sur les prestataires de services informatiques en nuage et leurs clients. | |
Amendement 148 Proposition de règlement Article 26 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d'un groupe d'entreprises, en particulier aux fins de contrôle et de présentation de rapports. |
supprimé |
Justification | |
De telles précisions sont inutiles. Le transfert de données au sein d'un groupe d'entreprises est déjà couvert dans une autre partie de la proposition. | |
Amendement 149 Proposition de règlement Article 28 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire de tous les traitements effectués sous leur responsabilité. |
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire des principales catégories de traitement effectuées sous leur responsabilité. |
Justification | |
Une protection efficace des données impose aux organisations de disposer d'une documentation suffisante concernant leurs activités de traitement des données. Toutefois, la conservation d'une trace documentaire de toutes les opérations de traitement impose des charges disproportionnées. Au lieu de satisfaire à des exigences bureaucratiques, la documentation devrait avoir pour objectif d'aider les responsables du traitement et les sous-traitants à s'acquitter de leurs obligations. | |
Amendement 150 Proposition de règlement Article 28 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. La documentation constituée comporte au moins les informations suivantes: |
2. La documentation constituée comporte les informations suivantes: |
Justification | |
Pour garantir la sécurité juridique, la liste des informations faisant partie de la documentation doit être exhaustive. | |
Amendement 151 Proposition de règlement Article 28 – paragraphe 2 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f); |
c) les finalités génériques du traitement; |
Justification | |
Le présent amendement contribue à alléger les charges administratives pesant tant sur les responsables du traitement que sur les sous-traitants. | |
Amendement 152 Proposition de règlement Article 28 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant; |
supprimé |
Justification | |
L'objectif du règlement est double: assurer un haut niveau de protection des données à caractère personnel et réduire la charge administrative générée par les règles de protection des données. L'obligation imposée au responsable du traitement et au sous-traitant par l'article 28, paragraphe 2, point h, est suffisante pour réaliser ce double objectif. | |
Amendement 153 Proposition de règlement Article 28 – paragraphe 2 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris les responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent; |
supprimé |
Justification | |
L'objectif du règlement est double: assurer un haut niveau de protection des données à caractère personnel et réduire la charge administrative générée par les règles de protection des données. L'obligation imposée au responsable du traitement et au sous-traitant par l'article 28, paragraphe 2, point h, est suffisante pour réaliser ce double objectif. | |
Amendement 154 Proposition de règlement Article 28 – paragraphe 2 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l'existence de garanties appropriées; |
f) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), une référence aux garanties utilisées; |
Justification | |
Le présent amendement contribue à alléger les charges administratives pesant tant sur les responsables du traitement que sur les sous-traitants. | |
Amendement 155 Proposition de règlement Article 28 – paragraphe 2 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) une indication générale des délais impartis pour l'effacement des différentes catégories de données; |
supprimé |
Justification | |
L'objectif du règlement est double: assurer un haut niveau de protection des données à caractère personnel et réduire la charge administrative générée par les règles de protection des données. L'obligation imposée au responsable du traitement et au sous-traitant par l'article 28, paragraphe 2, point h, est suffisante pour réaliser ce double objectif. | |
Amendement 156 Proposition de règlement Article 28 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci. |
3. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle-ci et, au format électronique, à la disposition de la personne concernée. |
Justification | |
La documentation doit être mise à disposition tant de la personne concernée que de l'autorité de contrôle. | |
Amendement 157 Proposition de règlement Article 28 – paragraphe 4 – point b bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
b bis) autorités publiques traitant de données autres que des données sensibles à caractère personnel visées à l'article 9, paragraphe 1, du présent règlement. |
Amendement 158 Proposition de règlement Article 28 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 159 Proposition de règlement Article 28 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 160 Proposition de règlement Article 30 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique. |
supprimé |
Amendement 161 Proposition de règlement Article 30 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue: |
supprimé |
|
a) d'empêcher tout accès non autorisé à des données à caractère personnel; |
|
|
b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel; |
|
|
c) d'assurer la vérification de la licéité des traitements. |
|
|
Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
Amendement 162 Proposition de règlement Article 31 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. |
1. En cas de violation de données à caractère personnel susceptible de porter sérieusement atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié. |
Justification | |
Après une violation de données, la priorité doit être de prendre les mesures appropriées pour limiter le préjudice qui peut en résulter. Un délai explicite rend prioritaire la notification. | |
Amendement 163 Proposition de règlement Article 31 – paragraphe 3 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
3. La notification visée au paragraphe 1 doit, à tout le moins: |
3. La notification visée au paragraphe 1 doit, si possible: |
Amendement 164 Proposition de règlement Article 31 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article. Elle comporte uniquement les informations nécessaires à cette fin. |
4. Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit permettre à l'autorité de contrôle de vérifier le respect des dispositions du présent article et de l'article 30. Elle comporte uniquement les informations nécessaires à cette fin. |
Justification | |
Le responsable du traitement doit prouver qu'il a pris toute mesure raisonnablement susceptible d'être mise en œuvre pour éviter les violations de données, en plus de prouver qu'il a correctement réagi aux violations survenues. | |
Amendement 165 Proposition de règlement Article 31 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à l'établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 166 Proposition de règlement Article 31 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l'obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l'effacement des informations qui y figurent. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 167 Proposition de règlement Article 32 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard indu à la personne concernée. |
1. Lorsque la violation de données à caractère personnel est susceptible de porter sérieusement atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, notamment par vol ou usurpation d'identité, dommage physique, humiliation grave ou atteinte à la réputation, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation à la personne concernée de manière claire et concise, sans retard indu. |
Justification | |
Dans certains cas, la participation de la personne concernée est cruciale pour atténuer les effets négatifs de la violation de données. Par exemple, s'il s'agit d'un vol de numéro de carte de crédit, la personne concernée est la seule capable de distinguer ses dépenses de celles relevant d'une utilisation frauduleuse. Dès lors, sa coopération est plus importante que la notification à l'autorité. Il est donc très important de tenir compte de ces cas de figure et de leur donner la priorité. | |
Amendement 168 Proposition de règlement Article 32 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b) et c). |
2. La communication à la personne concernée prévue au paragraphe 1 décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l'article 31, paragraphe 3, points b), c) et d). |
Amendement 169 Proposition de règlement Article 32 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l'autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. |
3. La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas nécessaire si la violation ne présente pas un risque important de préjudice pour les citoyens et si le responsable du traitement prouve, à la satisfaction de l'autorité de contrôle, qu'il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. |
Amendement 170 Proposition de règlement Article 32 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel. |
supprimé |
Justification | |
Dans son analyse d'impact, l'autorité de protection des données dispose de toutes les informations nécessaires pour déterminer si une violation des données est susceptible d'avoir des répercussions défavorables sur les données à caractère personnel ou sur la vie privée de la personne concernée. | |
Amendement 171 Proposition de règlement Article 32 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 172 Proposition de règlement Article 33 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. |
1. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, ou lorsque le traitement intervient dans le cadre d'un projet d'infrastructure du secteur public, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. |
Amendement 173 Proposition de règlement Article 33 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants: |
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont les suivants: |
Justification | |
La liste des traitements qui doivent faire l'objet d'une étude d'impact, énoncée à l'article 33, paragraphe 2, est formulée de manière générale. Dans le respect du principe de proportionnalité et pour offrir une sécurité juridique, elle doit être limitative. | |
Amendement 174 Proposition de règlement Article 33 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises; |
b) le traitement d'informations relatives à la vie sexuelle, à la santé, aux opinions politiques, aux convictions religieuses, aux condamnations pénales, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises; |
Amendement 175 Proposition de règlement Article 33 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées. |
3. L'analyse contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées et en prenant également en considération les technologies et méthodes modernes qui sont de nature à améliorer la protection de la vie privée des citoyens. |
Amendement 176 Proposition de règlement Article 33 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements. |
supprimé |
Justification | |
Imposer une obligation générale de consultation des personnes concernées aux responsables du traitement quel que soit le secteur concerné, avant tout traitement des données, parait disproportionné. | |
Amendement 177 Proposition de règlement Article 33 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement. |
supprimé |
Amendement 178 Proposition de règlement Article 33 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission peut définir des normes et procédures pour la réalisation, la vérification et l'audit de l'analyse visée au paragraphe 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Amendement 179 Proposition de règlement Article 34 – paragraphe 8 | |
|
Texte proposé par la Commission |
Amendement |
|
8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a). |
supprimé |
Amendement 180 Proposition de règlement Article 35 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque: |
1. Le responsable du traitement et le sous‑traitant devraient désigner systématiquement un délégué à la protection des données lorsque: |
Justification | |
La désignation d'un délégué à la protection des données devrait être encouragée mais ne pas être obligatoire, sachant que cela imposerait des obligations financières et administratives excessives aux organisations dont les activités ne présentent pas un risque significatif d'atteinte à la vie privée de la personne concernée. Le présent amendement est à rapprocher de l'amendement ECR à l'article 79, qui vise à garantir que l'autorité de contrôle prenne en compte la présence ou l'absence d'un délégué à la protection des données lorsqu'elle est amenée à décider de sanctions administratives, et qui habilite l'autorité de contrôle à imposer la nomination de délégués à la protection des données, à titre de sanction administrative. | |
Amendement 181 Proposition de règlement Article 35 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement est effectué par une entreprise employant 250 personnes ou plus; or |
supprimé |
Amendement 182 Proposition de règlement Article 35 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans le cas visé au paragraphe 1, point b), un groupe d'entreprises peut désigner un délégué à la protection des données unique. |
supprimé |
Justification | |
N'a plus lieu d'être si l'on supprime le paragraphe 1, point b). | |
Amendement 183 Proposition de règlement Article 35 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. Le délégué à la protection des données doit disposer du temps et des infrastructures nécessaires pour s'acquitter de ses tâches. |
Amendement 184 Proposition de règlement Article 35 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci. |
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. |
Justification | |
Il devrait être possible de démettre le délégué à la protection des données de ses fonctions, comme tout autre membre du personnel, s'il n'accomplit pas les tâches qui lui sont confiées par la direction. C'est à la direction qu'il appartient de décider si la personne engagée donne satisfaction. | |
Amendement 185 Proposition de règlement Article 35 – paragraphe 10 | |
|
Texte proposé par la Commission |
Amendement |
|
10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement. |
10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives à l'exercice des droits que leur confère le présent règlement. |
Amendement 186 Proposition de règlement Article 35 – paragraphe 11 | |
|
Texte proposé par la Commission |
Amendement |
|
11. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 187 Proposition de règlement Article 37 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 188 Proposition de règlement Article 41 – paragraphe 2 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées; |
a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, la jurisprudence ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées; |
Justification | |
Dans certains pays (de droit anglo-saxon notamment), la jurisprudence a une forte valeur juridique. | |
Amendement 189 Proposition de règlement Article 41 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré. |
7. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré. |
Justification | |
Le site internet permet une mise à jour et, dans de nombreux cas, une recherche plus aisées. | |
Amendement 190 Proposition de règlement Article 42 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant. |
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant et, le cas échéant, en vertu d'une analyse d'impact, lorsque le responsable du traitement ou le sous-traitant s'est assuré que le bénéficiaire des données dans un pays tiers applique des normes élevées en matière de protection des données. |
Justification | |
Le présent amendement va dans le sens des amendements ECR visant à inciter les responsables du traitement à appliquer des normes élevées en matière de protection des données en les encourageant à réaliser une analyse d'impact, sur une base facultative. | |
Amendement 191 Proposition de règlement Article 42 – paragraphe 2 – point c bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
c bis) des clauses types de protection des données adoptées conformément aux points a) et b), entre le responsable du traitement ou le sous-traitant et le destinataire des données situé dans un pays tiers, qui peuvent comprendre des clauses types en matière de transferts ultérieurs à un bénéficiaire situé dans un pays tiers; |
Justification | |
L'étude du département thématique du Parlement consacrée à la réforme du paquet relatif à la protection des données souligne que les clauses types ne s'étendent pas aux accords passés entre responsables du traitement et sous-traitants. Cette faille pourrait sérieusement défavoriser les entreprises de l'Union et les jeunes pousses à base technologique. Le présent amendement vise à combler cette faille. | |
Amendement 192 Proposition de règlement Article 44 – paragraphe 1 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous-traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif et que le responsable du traitement ou le sous-traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu. |
h) le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous-traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif, ou que, avant ce transfert, les données à caractère personnel soient déjà rendues publiques dans le pays tiers, et que le responsable du traitement ou le sous-traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu. |
Amendement 193 Proposition de règlement Article 44 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les «motifs importants d'intérêt général» au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues au paragraphe 1, point h). |
supprimé |
Amendement 194 Proposition de règlement Article 62 | |
|
Texte proposé par la Commission |
Amendement |
|
Article 62 |
supprimé |
|
Actes d'exécution |
|
|
1. La Commission peut adopter des actes d'exécution pour: |
|
|
a) statuer sur l'application correcte du présent règlement conformément à ses objectifs et exigences quant aux questions soulevées par les autorités de contrôle conformément à l'article 58 ou à l'article 61, quant à une question au sujet de laquelle une décision motivée a été adoptée en vertu de l'article 60, paragraphe 1, ou quant à une affaire dans laquelle une autorité de contrôle omet de soumettre pour examen un projet de mesure et a indiqué qu'elle n'entendait pas se conformer à l'avis de la Commission adopté en vertu de l'article 59; |
|
|
b) statuer, dans le délai fixé à l'article 59, paragraphe 1, sur l'applicabilité générale de projets de clauses types de protection des données telles que celles visées à l'article 58, paragraphe 2, point d); |
|
|
c) définir la forme et les procédures d'application du mécanisme de contrôle de la cohérence prévu par la présente section; |
|
|
d) définir les modalités de l'échange d'informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8. |
|
|
Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
|
|
2. Pour des raisons impérieuses d'urgence dûment justifiées, tenant aux intérêts de personnes concernées dans les cas visés au paragraphe 1, point a), la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 87, paragraphe 3. Ces actes restent en vigueur pendant une période n'excédant pas douze mois. |
|
|
3. L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités. |
|
Justification | |
Il est peu judicieux d'augmenter la charge de travail de la Commission en lui confiant de telles tâches, qui peuvent être accomplies de manière plus efficace par le comité européen de protection des données. | |
Amendement 195 Proposition de règlement Article 63 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 63 bis |
|
|
Procédures de recours |
|
|
1. Sans préjudice de la compétence de la Cour de justice de l'Union européenne, le comité européen de protection des données peut émettre un avis contraignant si: |
|
|
a) une personne concernée ou un responsable du traitement forme un recours au motif que l'application du présent règlement n'est pas cohérente dans tous les États membres; ou |
|
|
b) un projet de mesure élaboré par l'autorité compétente, après application du mécanisme de cohérence décrit dans la présente section, n'a pas été considéré comme étant cohérent avec l'application du présent règlement dans l'ensemble de l'Union. |
|
|
2. Avant d'émettre un tel avis, le comité européen de protection des données prend en compte toutes les informations connues de l'autorité de protection des données compétente, y compris le point de vue des parties concernées. |
Justification | |
Sans préjudice de la compétence de l'autorité de protection des données de l'État membre d'établissement principal, il convient d'introduire une mesure supplémentaire visant à assurer la cohérence dans l'ensemble du marché unique, dans le cas, certes peu probable, où une mesure serait si controversée qu'aucune étape du mécanisme de cohérence ne réussisse à produire un large consensus à son égard. | |
Amendement 196 Proposition de règlement Article 66 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57; |
d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu aux articles 57 et 63 bis; |
Justification | |
Fait écho au nouvel article 63 bis. | |
Amendement 197 Proposition de règlement Article 73 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement. |
1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement. Cette réclamation ne doit pas occasionner de coûts à la charge de la personne concernée. |
Amendement 198 Proposition de règlement Article 73 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l'égard de la protection de leurs données à caractère personnel et qui a été valablement constitué conformément au droit d'un État membre a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre au nom d'une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel. |
supprimé |
Amendement 199 Proposition de règlement Article 74 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent. |
1. Sans préjudice de la procédure visée à l'article 63 bis, toute personne physique ou morale, y compris tout responsable du traitement et tout sous‑traitant, a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent. |
Justification | |
Le présent amendement est essentiel en ce sens qu'il précise le principe de base voulant que les responsables du traitement aient le droit de former un recours juridictionnel contre les décisions qui les affectent, même lorsqu'ils ne sont pas eux-mêmes directement visés par la décision prise par une autorité nationale. | |
Amendement 200 Proposition de règlement Article 74 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre. |
supprimé |
Justification | |
Cette possibilité n'apporte pas une plus-value aux citoyens et risque de compromettre le bon déroulement de la collaboration des autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence. | |
Amendement 201 Proposition de règlement Article 76 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Tout organisme, organisation ou association visé à l'article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et 75 au nom d'une ou de plusieurs personnes concernées. |
supprimé |
Amendement 202 Proposition de règlement Article 77 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi. |
1. Toute personne ayant subi un dommage matériel ou immatériel du fait d'un traitement illicite, y compris l'inscription sur une liste noire, ou de toute action incompatible avec le présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi et de tout dommage moral. |
Amendement 203 Proposition de règlement Article 78 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les États membres prévoient les sanctions pénales applicables aux violations des dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir leur application, y compris lorsque le responsable du traitement n'a pas respecté l'obligation de désigner un représentant. Les sanctions pénales ainsi prévues doivent être effectives, proportionnées et dissuasives. |
1. Les États membres prévoient les sanctions pénales applicables aux violations des dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir leur application, y compris lorsque le responsable du traitement n'a pas respecté l'obligation de désigner un représentant. Les sanctions pénales ainsi prévues doivent être effectives, cohérentes, proportionnées et dissuasives. |
Justification | |
Les sanctions pénales doivent être cohérentes dans toute l'Union. | |
Amendement 204 Proposition de règlement Article 79 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
1. Chaque autorité de contrôle compétente est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
Amendement 205 Proposition de règlement Article 79 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l'autorité de contrôle en vue de remédier à la violation. |
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée, non discriminatoire et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du type précis de données concernées, du degré du préjudice ou du risque de préjudice causé par la violation, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l'autorité de contrôle en vue de remédier à la violation. Le cas échéant, l'autorité de protection des données est également habilitée à exiger qu'un délégué à la protection des données soit désigné si l'organisme, l'organisation ou l'association a choisi de ne pas le faire. |
Justification | |
Le présent amendement vise à établir que les violations commises de propos délibéré ou sans le moindre souci des règles méritent d'être plus lourdement sanctionnées que les violations commises par simple négligence. La série d'amendements portant sur les sanctions administratives vise à garantir que la sanction est proportionnée au comportement adopté et que les sanctions les plus lourdes sont réservées aux manquements les plus graves. La capacité de l'autorité de protection des données d'exiger la désignation d'un délégué à la protection des données vise également à garantir la proportionnalité des sanctions. | |
Amendement 206 Proposition de règlement Article 79 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Les circonstances aggravantes comprennent notamment: |
|
|
a) les violations répétées commises au mépris flagrant de la loi applicable; |
|
|
b) le refus de coopérer ou l'obstruction faite au déroulement d'une procédure d'exécution; |
|
|
c) les violations qui sont délibérées, graves et de nature à causer d'importants préjudices; |
|
|
d) la non-réalisation d'une analyse d'impact sur la protection des données; |
|
|
e) la non-désignation d'un délégué à la protection des données. |
Amendement 207 Proposition de règlement Article 79 – paragraphe 2 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 ter. Les circonstances atténuantes comprennent: |
|
|
a) les mesures prises par la personne physique ou morale pour garantir le respect des obligations en vigueur; |
|
|
b) une réelle incertitude quant à savoir si l'action a constitué une violation des obligations applicables; |
|
|
c) la cessation immédiate de la violation dès sa connaissance; |
|
|
d) la coopération à toute procédure d'exécution; |
|
|
e) la réalisation d'une analyse d'impact sur la protection des données; |
|
|
f) la désignation d'un délégué à la protection des données. |
Amendement 208 Proposition de règlement Article 79 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. L'autorité de contrôle inflige une amende pouvant s'élever à 250.000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
|
a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; |
|
|
b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l'article 12, paragraphe 4. |
|
Justification | |
Voir article 79, paragraphe 3. | |
Amendement 209 Proposition de règlement Article 79 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
|
a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; |
|
|
b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; |
|
|
c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l'effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17. |
|
|
d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l'article 18; |
|
|
e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; |
|
|
f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; |
|
|
g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d'expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. |
|
Justification | |
Voir article 79, paragraphe 3. | |
Amendement 210 Proposition de règlement Article 79 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
|
a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; |
|
|
b) traite des catégories particulières de données en violation des articles 9 et 81; |
|
|
c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l'article 19; |
|
|
d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; |
|
|
e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; |
|
|
f) omet de désigner un représentant conformément à l'article 25; |
|
|
g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; |
|
|
h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; |
|
|
i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; |
|
|
j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; |
|
|
k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; |
|
|
l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; |
|
|
m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; |
|
|
n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; |
|
|
o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84. |
|
Justification | |
Voir article 79, paragraphe 3. | |
Amendement 211 Proposition de règlement Article 79 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2. |
supprimé |
Justification | |
Voir article 79, paragraphe 3. | |
Amendement 212 Proposition de règlement Article 81 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement et conformément à l'article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou de la législation d'un État membre qui prévoit des garanties appropriées et spécifiques des intérêts légitimes de la personne concernée, et doivent être nécessaires: |
1. Dans les limites du présent règlement et conformément à l'article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou de la législation d'un État membre qui prévoit des garanties appropriées, cohérentes et spécifiques des intérêts légitimes de la personne concernée, et doivent être nécessaires: |
Justification | |
L'exigence de cohérence accorde une moindre liberté aux lois des États membres, dans la perspective du marché unique. | |
Amendement 213 Proposition de règlement Article 81 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'autres motifs d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 214 Proposition de règlement Article 82 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. |
1. Dans les limites du présent règlement, les États membres peuvent adopter, par voie législative ou par voie de conventions collectives entre employeurs et salariés, un régime spécifique pour le traitement des données à caractère personnel des salariés en matière d'emploi, aux fins, notamment, du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, en matière de condamnation pénale et aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. Le présent règlement doit, conformément aux principes énoncés à l'article 5, respecter les conventions collectives concernant la réglementation décentralisée du traitement des données par l'employeur, conclues conformément au présent règlement. |
Amendement 215 Proposition de règlement Article 82 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
3. Le présent règlement reconnaît le rôle des partenaires sociaux. Dans les États membres où la réglementation des salaires et autres conditions de travail au travers de conventions collectives est laissée aux soins des parties sur le marché du travail, une attention particulière doit être portée, pour l'application de l'article 6, paragraphe 1, point f), aux obligations et droits des partenaires sociaux découlant de conventions collectives. |
Amendement 216 Proposition de règlement Article 83 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d'information et d'accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause. |
supprimé |
Justification | |
De telles précisions sont inutiles. | |
Amendement 217 Proposition de règlement Article 83 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Les États membres peuvent adopter des mesures spécifiques pour réglementer le traitement des données à caractère personnel à des fins historiques, statistiques ou scientifiques, tout en respectant les dispositions énoncées aux paragraphes 1 et 2 du présent article ainsi que la Charte des droits fondamentaux de l'Union européenne. |
Amendement 218 Proposition de règlement Article 83 – paragraphe 3 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 ter. Un État membre qui adopte des mesures spécifiques conformément à l'article 83, paragraphe 3 bis, doit informer la Commission des mesures adoptées avant la date fixée à l'article 91, paragraphe 2, et informer sans retard injustifié la Commission des modifications éventuellement apportées à ces mesures à un stade ultérieur. |
Amendement 219 Proposition de règlement Article 84 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Chaque État membre notifie à la Commission les dispositions qu'il adopte conformément au paragraphe 1, au plus tard à la date visée à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
2. Chaque État membre notifie à la Commission les dispositions qu'il adopte conformément au paragraphe 1, afin que la Commission en vérifie la cohérence avec les dispositions adoptées par les autres États membres, au plus tard à la date visée à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
Justification | |
Une application cohérente du présent règlement est essentielle à l'achèvement du marché unique. | |
Amendement 220 Proposition de règlement Article 86 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur du présent règlement. |
2. La délégation de pouvoir visée à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 20, paragraphe 5, à l'article 23, paragraphe 3, à l'article 30, paragraphe 3, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 7, et à l'article 82, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur du présent règlement. |
Justification | |
Cette modification est fonction des amendements retirant ces pouvoirs dans certains articles. Les numéros de paragraphe erronés ont également été corrigés. | |
Amendement 221 Proposition de règlement Article 86 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
3. La délégation de pouvoir visée à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 20, paragraphe 5, à l'article 23, paragraphe 3, à l'article 30, paragraphe 3, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 7, et à l'article 82, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
Justification | |
Cette modification est fonction des amendements retirant ces pouvoirs dans certains articles. Les numéros de paragraphe erronés ont également été corrigés. | |
Amendement 222 Proposition de règlement Article 86 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Un acte délégué adopté en vertu de l'article 6, paragraphe 5, de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 12, paragraphe 5, de l'article 14, paragraphe 7, de l'article 15, paragraphe 3, de l'article 17, paragraphe 9, de l'article 20, paragraphe 6, de l'article 22, paragraphe 4, de l'article 23, paragraphe 3, de l'article 26, paragraphe 5, de l'article 28, paragraphe 5, de l'article 30, paragraphe 3, de l'article 31, paragraphe 5, de l'article 32, paragraphe 5, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 35, paragraphe 11, de l'article 37, paragraphe 2, de l'article 39, paragraphe 2, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7, de l'article 79, paragraphe 6, de l'article 81, paragraphe 3, de l'article 82, paragraphe 3, et de l'article 83, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
5. Un acte délégué adopté en vertu de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 12, paragraphe 5, de l'article 20, paragraphe 5, de l'article 23, paragraphe 3, de l'article 30, paragraphe 3, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 39, paragraphe 2, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7, de l'article 79, paragraphe 7, et de l'article 82, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
Justification | |
Cette modification est fonction des amendements retirant ces pouvoirs dans certains articles. | |
Amendement 223 Proposition de règlement Article 86 – paragraphe 5 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
5 bis. Lors de l'adoption des actes visés au présent article, la Commission promeut la neutralité technologique. |
Amendement 224 Proposition de règlement Article 89 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. En ce qui concerne les personnes physiques ou morales qui sont tenues de notifier toute violation de données à caractère personnel en vertu de la directive 2002/58/CE telle que modifiée par la directive 2009/136/CE concernant le traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public, le présent règlement n'impose pas d'obligations supplémentaires en ce qui concerne la notification d'une violation de données à caractère personnel à l'autorité de contrôle et la communication d'une violation de données à caractère personnel aux personnes concernées. Les personnes physiques ou morales notifient les violations de données à caractère personnel affectant toutes les données qu'elles traitent conformément à la procédure de notification des violations de données à caractère personnel définie dans la directive 2002/58/CE telle que modifiée par la directive 2009/136/CE. |
Justification | |
Ce nouveau paragraphe établit que les fournisseurs de services de communications électroniques sont soumis à un seul et unique régime de notification pour toute violation des données qu'ils traitent, et non à des régimes multiples dépendant du service offert ou des données conservées. Cette disposition garantit des conditions uniformes pour les acteurs industriels. | |
Amendement 225 Proposition de règlement Article 89 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. L'article 1er, paragraphe 2, de la directive 2002/58/CE est supprimé. |
2. L'article 1er, paragraphe 2, l'article 2, point c), et l'article 9 de la directive 2002/58/CE sont supprimés. |
Justification | |
Le présent amendement vise à assurer l'alignement indispensable de la directive 2002/58/CE sur le présent règlement. En outre, il évite une double réglementation qui pourrait nuire gravement à la compétitivité des secteurs couverts par la directive 2002/58/CE. Les exigences générales du présent règlement, y compris celles qui portent sur l'analyse de l'impact sur la vie privée, garantissent que les données de localisation sont traitées avec tout le soin voulu indépendamment de la source ou du secteur d'activité du responsable du traitement des données. | |
Amendement 226 Proposition de règlement Article 90 – alinéa 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Les actes délégués et les actes d'exécution adoptés par la Commission devraient être évalués tous les deux ans par le Parlement et le Conseil. |
PROCÉDURE
|
Titre |
Protection des personnes physiques à l'égard du traitement des données à caractère personnel et libre circulation de ces données (règlement général sur la protection des données) |
||||
|
Références |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Commission compétente au fond Date de l'annonce en séance |
LIBE 16.2.2012 |
|
|
|
|
|
Avis émis par Date de l'annonce en séance |
IMCO 16.2.2012 |
||||
|
Rapporteure pour avis Date de la nomination |
Lara Comi 29.2.2012 |
||||
|
Examen en commission |
21.6.2012 |
10.10.2012 |
28.11.2012 |
17.12.2012 |
|
|
Date de l'adoption |
23.1.2013 |
|
|
|
|
|
Résultat du vote final |
+: –: 0: |
19 16 1 |
|||
|
Membres présents au moment du vote final |
Preslav Borissov, Cristian Silviu Buşoi, Jorgo Chatzimarkakis, Sergio Gaetano Cofferati, Birgit Collin-Langen, Lara Comi, Anna Maria Corazza Bildt, Cornelis de Jong, Christian Engström, Dolores García-Hierro Caraballo, Evelyne Gebhardt, Małgorzata Handzlik, Malcolm Harbour, Philippe Juvin, Hans-Peter Mayer, Angelika Niebler, Sirpa Pietikäinen, Phil Prendergast, Mitro Repo, Heide Rühle, Christel Schaldemose, Andreas Schwab, Catherine Stihler, Emilie Turunen, Bernadette Vergnaud, Barbara Weiler |
||||
|
Suppléants présents au moment du vote final |
Raffaele Baldassarre, Jürgen Creutzmann, Anna Hedh, Constance Le Grip, Morten Løkkegaard, Emma McClarkin, Konstantinos Poupakis, Kyriacos Triantaphyllides, Patricia van der Kammen, Sabine Verheyen |
||||
- [1] Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012) 11 final. Ci-après également "règlement général".
- [2] Directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, COM(2012) 10 final.
AVIS de la commission des affaires juridiques (25.3.2013)
à l'intention de la commission des libertés civiles, de la justice et des affaires intérieures
sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Rapporteure pour avis: Marielle Gallo
JUSTIFICATION SUCCINCTE
La proposition de règlement conserve les principes de la directive 95/46/CE et renforce les droits des citoyens en matière de protection des données à caractère personnel. Votre rapporteur se félicite du travail de la Commission et souhaite formuler les remarques suivantes.
Malgré les réticences exprimées par certaines parties, votre rapporteur souhaite conserver une définition étendue des données à caractère personnel et le principe du consentement explicite comme motif de licéité du traitement. Ce sont deux conditions nécessaires pour protéger de manière efficace ce droit fondamental et inspirer la confiance de nos concitoyens, notamment dans le monde numérique.
Ensuite, votre rapporteur propose de renforcer la protection prévue pour les enfants en élargissant le champ d'application de l'article 8 pour couvrir la vente de tous les biens et services et ne plus se limiter aux seuls services de la société de l'information.
En outre, votre rapporteur propose de supprimer l'article 18 qui introduit le droit à la portabilité des données. Ce nouveau droit prévu par la proposition de directive n'apporte aucune plus value aux citoyens par rapport au droit d'accès consacré à l'article 15 de la proposition de règlement et qui permet à la personne concernée d'obtenir une communication des données qui font l'objet d'un traitement.
Votre rapporteur souhaite introduire de manière explicite le principe général de responsabilité du responsable de traitement. En effet, la proposition de règlement renforce les obligations qui incombent aux responsables du traitement pour permettre un exercice efficace des droits conférés à la personne concernée. Toutefois, il convient d'aller plus loin afin de consacrer de manière explicite ce principe général de responsabilité.
Il convient également de renforcer le droit à l'oubli numérique. L'article 17, paragraphe 2, impose une obligation de moyens dans le chef du responsable du traitement en ce qui concerne les données qui sont traitées par des tiers. Votre rapporteur propose d'introduire une obligation du responsable du traitement d'informer la personne concernée des suites qui sont données à sa demande par lesdits tiers.
Les dispositions relatives aux transferts des données vers des pays tiers ou des organisations internationales ont été développées et précisées de manière significative. Votre rapporteur propose d'introduire le système de reconnaissance mutuelle des règles d'entreprises contraignantes qui est déjà mis en place par le groupe de travail article 29. L'autorité compétente en la matière devrait être celle du lieu de l'établissement principal du responsable du traitement ou du sous-traitant.
En ce qui concerne les compétences des autorités de contrôle, le rapporteur pour avis se félicite de l'adoption du principe du guichet unique qui simplifie la tache des opérateurs économiques implantés dans plusieurs États membres. Toutefois, il ne faut pas perdre de vue que les citoyens s'adressent en principe à l'autorité de leur État membre d'origine et attendent à ce que ladite autorité fasse le nécessaire pour faire respecter leurs droits. L'application du principe du guichet unique ne doit pas transformer les autres autorités de contrôle en de simples "boîtes aux lettres". Votre rapporteur propose de clarifier que l'autorité chef de file à l'obligation de coopérer avec les autres autorités de contrôle impliquées et la Commission, conformément aux dispositions du chapitre 7 du règlement.
En matière de sanctions administratives, votre rapporteur se félicite des montants significatifs prévus par la proposition de règlement. Toutefois, les autorités de contrôle doivent disposer d'une large marge de manoeuvre lorsqu'elles infligent des amendes. Il est rappelé que l'article 8, paragraphe 3 de la charte des droits fondamentaux de l'Union européenne consacre le principe de l'indépendance des autorités de contrôle. Le mécanisme de contrôle de la cohérence pourra contribuer à une politique harmonisée au sein de l'Union en matière d'amendes.
Enfin, la proposition de règlement contient un nombre considérable d'actes délégués et d'exécution. Certains de ces actes sont nécessaires car ils ajoutent des éléments non essentiels au règlement, pour d'autres, votre rapporteur propose leur suppression pure et simple. Cette question peut être examinée séparément par la commission des affaires juridiques. En effet, en vertu de l'article 37, paragraphe 1, du règlement du Parlement, la commission des affaires juridiques est compétente pour la vérification de la base juridique de toute initiative législative et peut statuer, soit à sa propre initiative, soit à la demande de la commission compétente au fond, sur l'usage qui est fait des actes délégués et d'exécution.
AMENDEMENTS
La commission des affaires juridiques invite la commission des libertés civiles, de la justice et des affaires intérieures, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de règlement Considérant 4 | |
|
Texte proposé par la Commission |
Amendement |
|
(4) L'intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à une augmentation substantielle des flux transfrontières. Les échanges de données entre acteurs économiques et sociaux, publics et privés, se sont intensifiés dans l'ensemble de l'Union. Le droit de l'Union appelle les autorités nationales des États membres à coopérer et à échanger des données à caractère personnel, afin d'être en mesure de remplir leurs missions ou d'accomplir des tâches pour le compte d'une autorité d'un autre État membre. |
(4) L'intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à une augmentation substantielle des activités transfrontières. Les échanges de données entre acteurs économiques et sociaux, publics et privés, se sont intensifiés dans l'ensemble de l'Union. Le droit de l'Union appelle les autorités nationales des États membres à coopérer et à échanger des données à caractère personnel, afin de remplir leurs missions ou d'accomplir des tâches pour le compte d'une autorité d'un autre État membre. |
Amendement 2 Proposition de règlement Considérant 5 | |
|
Texte proposé par la Commission |
Amendement |
|
(5) La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu'aux pouvoirs publics d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu'il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l'économie et les rapports sociaux, et elles exigent de faciliter davantage la libre circulation des données au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel. |
(5) La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu'aux pouvoirs publics d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu'il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l'économie et les rapports sociaux, ce qui a alimenté le besoin de faciliter la libre circulation des données au sein de l'Union, d'assurer leur transfert vers des pays tiers et à des organisations internationales et de garantir le niveau le plus élevé de protection des données à caractère personnel. |
Amendement 3 Proposition de règlement Considérant 15 | |
|
Texte proposé par la Commission |
Amendement |
|
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont exclusivement personnels ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale. Elle ne devrait pas valoir non plus pour les responsables du traitement de données ou leurs sous traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. |
(15) Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont exclusivement personnels ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale physique et qui n'impliquent pas de rendre accessibles lesdites données à un nombre indéfini de personnes. Elle ne devrait pas valoir non plus pour les responsables du traitement de données ou leurs sous traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. |
Justification | |
Il convient de clarifier le champ d'application de cette exception, notamment en raison de l'essor des réseaux sociaux qui permettent le partage d'informations avec des centaines de personnes. La Cour de justice (affaires C-101/01 et C-73/07) préconise l'accessibilité "par un nombre indéfini de personnes" comme critère d'application de cette exception. Le CEPD est du même avis. | |
Amendement 4 Proposition de règlement Considérant 24 | |
|
Texte proposé par la Commission |
Amendement |
|
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion ("cookies") par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. |
(24) Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associer des identifiants en ligne tels que des adresses IP ou des témoins de connexion ("cookies") par les appareils, applications, outils et protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle qu'une étude devrait être menée au cas par cas et en fonction des développements technologiques pour savoir si des numéros d'identification, des données de localisation, des identifiants en ligne ou d'autres éléments spécifiques doivent nécessairement être considérés, en soi, comme des données à caractère personnel. |
Justification | |
Dans un contexte d'offre croissante de nouveaux services en ligne et de développement technologique constant, il faut assurer un niveau élevé de protection des données à caractère personnel des citoyens. Un examen au cas par cas parait donc indispensable. | |
Amendement 5 Proposition de règlement Considérant 25 | |
|
Texte proposé par la Commission |
Amendement |
|
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
(25) Le consentement devrait être donné de manière explicite, selon toute modalité appropriée au média utilisé permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant une case lorsqu'elle consulte un site internet ou par le biais de toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Cela s'entend sans préjudice de la possibilité d'exprimer un consentement au traitement conformément à la directive 2002/58/CE en utilisant les paramètres appropriés d'un navigateur ou d'une autre application. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la même finalité. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. |
Amendement 6 Proposition de règlement Considérant 27 | |
|
Texte proposé par la Commission |
Amendement |
|
(27) Le principal établissement d'un responsable du traitement ou d'un sous-traitant devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. On entend par "établissement principal du sous-traitant" le lieu de son administration centrale dans l'Union. |
(27) Le principal établissement d'une entreprise ou d'un grouep d'entreprises, qu'il s'agisse du responsable du traitement ou d'un sous-traitant dans l'Union, devrait être désigné en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités en matière de données déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. |
Amendement 7 Proposition de règlement Considérant 34 | |
|
Texte proposé par la Commission |
Amendement |
|
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
(34) Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail, ou lorsque le responsable du traitement a un pouvoir de marché considérable en ce qui concerne certains produits ou services et que ces produits ou services sont proposés sous réserve du consentement au traitement de données à caractère personnel ou qu'un changement unilatéral et non essentiel des conditions du service ne donne d'autre choix à la personne concernée que d'accepter le changement ou d'abandonner une ressource en ligne dans laquelle elle a investi beaucoup de temps. Lorsque le responsable du traitement est une autorité publique, il n'y a déséquilibre que dans le cas d'opérations de traitement spécifiques dans le cadre desquelles l'autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l'intérêt de la personne concernée. |
Justification | |
Many social media sites lead users to invest significant time and energy in developing online profiles. There would be a clear imbalance, in the sense of the Commission's proposal, in any situation where the user was given the choice between accepting new and unnecessary data processing and abandoning the work they have already put into their profile. Another case of clear imbalance would be if the market for the service in question is monopolistic/oligopolistic, so that the data subject does not in fact have a real possibility to choose a privacy-respecting service provider. Data portability would not fully address this issue, as it does not resolve the loss of the network effects in larger social networks. | |
Amendement 8 Proposition de règlement Considérant 38 | |
|
Texte proposé par la Commission |
Amendement |
|
(38) Les intérêts légitimes du responsable du traitement peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
(38) Les intérêts légitimes d'une personne peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement ou les tiers auxquels les données sont communiquées devraient être tenus d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. |
Justification | |
La formulation de la directive 95/46/CE devrait être conservée. Il est rappelé que le règlement ne concerne pas seulement le monde numérique mais s'appliquera aussi aux activités hors ligne. Pour le financement de leurs activités, certains secteurs, comme celui de l'édition des journaux, ont besoin d'utiliser des sources extérieures pour contacter des potentiels nouveaux abonnés. | |
Amendement 9 Proposition de règlement Considérant 45 | |
|
Texte proposé par la Commission |
Amendement |
|
(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. |
(45) Si les données qu'il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu de recourir à des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d'une demande d'accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. |
Amendement 10 Proposition de règlement Considérant 48 | |
|
Texte proposé par la Commission |
Amendement |
|
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront conservées, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
(48) Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, des critères permettant de déterminer la durée pendant laquelle les données seront conservées pour chaque finalité, de l'existence d'un droit d'accès, de rectification ou d'effacement, ainsi que de son droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. |
Justification | |
Il n'est pas toujours possible de déterminer avec précision la durée exacte de conservation des données à caractère personnel, notamment en cas de conservation pour différentes finalités. | |
Amendement 11 Proposition de règlement Considérant 51 | |
|
Texte proposé par la Commission |
Amendement |
|
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
(51) Toute personne devrait avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, la durée de leur conservation, l'identité des destinataires, la logique qui sous-tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Chaque personne concernée devrait en outre avoir le droit d'obtenir la communication des données faisant l'objet du traitement et, sur demande électronique, d'obtenir une copie électronique des données non commerciales faisant l'objet d'un traitement, sous un format structuré qui est couramment utilisé et qui permet la réutilisation de ces données. Ces droits ne devraient pas porter atteinte aux droits et libertés d'autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. |
Justification | |
Il n'est pas toujours possible de déterminer avec précision la durée exacte de conservation des données à caractère personnel, notamment en cas de conservation pour différentes finalités. | |
Amendement 12 Proposition de règlement Considérant 53 | |
|
Texte proposé par la Commission |
Amendement |
|
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un "droit à l'oubli numérique" lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. |
(53) Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un "droit à l'oubli numérique" lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins statistiques ou de recherche historique, agrégée ou scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, pour le traitement de données sanitaires à des fins médicales, ou pour l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. |
Justification | |
Il est dans l'intérêt vital de la personne concernée de garder un dossier complet de ses données médicales de manière à ce qu'elle reçoive les meilleurs soins et traitements tout au long de sa vie. Le droit à l'oubli ne devrait pas s'appliquer lorsque les données sont traitées à des fins médicales, comme il est prévu à l'article 81, point a). | |
Amendement 13 Proposition de règlement Considérant 55 | |
|
Texte proposé par la Commission |
Amendement |
|
(55) Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d'accès, les personnes devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l'exécution d'un contrat. |
supprimé |
Justification | |
Les personnes concernées disposent du droit d'accès consacré à l'article 15 de la proposition de règlement. Le droit d'accès donne à toute personne concernée le droit d'obtenir une communication des données à caractère personnel faisant l'objet d'un traitement. L'article 18 qui permet aux personnes concernées d'obtenir une copie de leurs données, n'apporte aucune plus value en matière de protection des données à caractère personnel des citoyens et crée une confusion quant à la portée exacte du droit d'accès qui est un droit capital. | |
Amendement 14 Proposition de règlement Considérant 58 | |
|
Texte proposé par la Commission |
Amendement |
|
(58) Toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur le profilage par traitement automatisé. Toutefois, de telles mesures devraient être permises lorsqu'elles sont expressément autorisées par la loi, appliquées dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention humaine, et cette mesure ne devrait pas concerner les enfants. |
(58) Toute personne concernée devrait avoir le droit de ne pas être soumise à une décision fondée sur le profilage par traitement automatisé qui produit des effets juridiques néfastes ou la touche d'une manière néfaste. Ce n'est pas le cas des mesures liées à une communication commerciale, par exemple dans le domaine de la gestion des relations avec la clientèle ou de l'acquisition de clientèle. Toutefois, de telles mesures devraient être permises lorsqu'elles sont autorisées par la loi ou lorsque le traitement est légal en vertu de l'article 6, paragraphe 1, points a) à f bis). En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention humaine, et cette mesure ne devrait pas concerner les enfants. Le profilage ne devrait pas avoir pour effet de discriminer des individus sur la base,notamment, de leur race ou de leur origine ethnique, de leur religion ou de leur orientation sexuelle, sans préjudice de l'article 9, paragraphe 2. |
Justification | |
Le texte proposé par la Commission suppose que tous les profilages ont des conséquences défavorables, alors que certains peuvent avoir de nombreuses retombées positives; par exemple, l'amélioration ou l'adaptation des services offerts à des clients similaires. | |
Amendement 15 Proposition de règlement Considérant 60 | |
|
Texte proposé par la Commission |
Amendement |
|
(60) Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. |
(60) Il y a lieu d'instaurer une responsabilité générale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu d'en apporter la preuve. |
Justification | |
Pour renforcer la protection des données à caractère personnel; il faut consacrer de manière explicite un principe général de responsabilité du responsable du traitement. | |
Amendement 16 Proposition de règlement Considérant 62 | |
|
Texte proposé par la Commission |
Amendement |
|
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. |
(62) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. En cas de responsabilité solidaire, le sous-traitant qui a réparé le dommage de la personne concernée peut exercer un recours contre le responsable du traitement pour réclamer le remboursement, s'il a agi conformément à l'acte juridique qui le lie à ce dernier. |
Justification | |
Le sous-traitant est défini comme celui qui agit pour le compte du responsable du traitement. Par conséquent, lorsque le sous traitant respecte scrupuleusement les instructions qui lui sont données, une violation des données personnelles devrait être imputée au responsable du traitement et non pas au sous-traitant, sans pour autant affecter le droit à la rémunération de la personne concernée. | |
Amendement 17 Proposition de règlement Considérant 65 | |
|
Texte proposé par la Commission |
Amendement |
|
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait consigner chaque opération de traitement. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question. |
(65) Afin d'apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous-traitant devrait conserver des informations pertinentes sur les principales catégories de traitement effectuées. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles aident l'autorité de surveillance à évaluer la conformité de ces principales catégories de traitement avec le présent règlement. |
Amendement 18 Proposition de règlement Considérant 67 | |
|
Texte proposé par la Commission |
Amendement |
|
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une telle violation s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté, la notification devrait être assortie d'une explication concernant ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
(67) Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d'identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu'une violation qui affecte de manière significative la personne concernée s'est produite, il conviendrait qu'il en informe l'autorité de contrôle sans retard injustifié. Les personnes physiques dont les données à caractère personnel pourraient être affectées de manière significative par la violation devraient en être averties sans retard injustifié afin de pouvoir prendre les précautions qui s'imposent. Il y a lieu de considérer qu'une violation affecte de manière significative les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devra décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des directives fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. |
Justification | |
En cas de violation, le responsable du traitement doit se concentrer, dans un premier temps, sur la mise en oeuvre de toutes les mesures appropriées pour empêcher la poursuite de la violation. Une obligation de notification dans un délai de 24h à l'autorité de contrôle compétente, assortie de sanctions en cas de non respect, risque de produire l'effet contraire. En outre, comme énoncé par le groupe de travail article 29 dans son avis du 23 mars 2012, la notification ne doit pas porter sur des violations mineures pour éviter la surcharge des autorités de contrôle. | |
Amendement 19 Proposition de règlement Considérant 82 | |
|
Texte proposé par la Commission |
Amendement |
|
(82) La Commission peut également constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale. |
(82) La Commission peut également constater qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être permis sous réserve de garanties appropriées ou en vertu des dérogations énoncées au présent règlement. |
Justification | |
Le rapporteur suit la recommandation du CEPD contenue dans son avis du 7 mars 2012 (point 220). | |
Amendement 20 Proposition de règlement Considérant 85 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(85 bis) Un groupe d'entreprises qui envisage de soumettre pour approbation des règles d'entreprise contraignantes peut proposer une autorité de contrôle en tant que chef de file. L'autorité chef de file devrait être l'autorité de contrôle de l'État membre dans lequel se situe l'établissement principal du responsable du traitement ou du sous-traitant. |
Justification | |
Le groupe de travail article 29 a mis en place un système de reconnaissance mutuelle des règles d'entreprises contraignantes (document de travail 107 du 14 avril 2005). Il faut inclure ce système de reconnaissance mutuelle dans le présent règlement. Le critère de désignation de l'autorité compétente devrait être le lieu de l'établissement principal, qui est celui énoncé à l'article 51, paragraphe 2, du règlement. | |
Amendement 21 Proposition de règlement Considérant 87 | |
|
Texte proposé par la Commission |
Amendement |
|
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière. |
(87) Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, entre organes chargés de la lutte contre la fraude dans le sport, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière. |
Amendement 22 Proposition de règlement Considérant 115 | |
|
Texte proposé par la Commission |
Amendement |
|
(115) Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande. |
supprimé |
Justification | |
Cette possibilité n'apporte pas une plus value aux citoyens et risque de compromettre le bon déroulé de la collaboration des autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence. | |
Amendement 23 Proposition de règlement Considérant 118 | |
|
Texte proposé par la Commission |
Amendement |
|
(118) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. |
(118) Tout dommage qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous-traitant, qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. En cas de responsabilité solidaire, le sous-traitant qui a réparé le dommage de la personne concernée peut exercer un recours contre le responsable du traitement pour réclamer le remboursement, s'il a agi conformément à l'acte juridique qui le lie à ce dernier. |
Justification | |
La proposition de règlement introduit le principe général de responsabilité du responsable du traitement (articles 5 septies et 22) qui doit être maintenu et explicité. Le sous-traitant est défini comme celui qui agit pour le compte du responsable du traitement. En outre, dans l'hypothèse où le sous-traitant ne suit pas les instructions qui lui sont données, l'article 26, paragraphe 4, énonce qu'il est considéré comme responsable du traitement. | |
Amendement 24 Proposition de règlement Considérant 121 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(121 bis) Le présent règlement permet de prendre en compte, dans l'application de ses dispositions, le principe de l'accès du public aux documents officiels. Les données à caractère personnel figurant dans des documents détenus par une autorité ou un organisme public peuvent être divulguées par cette autorité ou par cet organisme conformément à la législation de l'État membre dont relève l'autorité ou l'organisme public. Cette législation doit concilier le droit à la protection des données à caractère personnel et le principe d'accès du public aux documents officiels. |
Amendement 25 Proposition de règlement Considérant 129 | |
|
Texte proposé par la Commission |
Amendement |
|
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les critères et exigences applicables aux transferts encadrés par des règles d'entreprise contraignantes; les dérogations relatives aux transferts; les sanctions administratives; les traitements à des fins médicales; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
(129) Afin de remplir les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l'Union, le pouvoir d'adopter des actes conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission. Concrètement, des actes délégués devraient être adoptés en ce qui concerne la spécification des critères et conditions concernant le consentement des enfants; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; les critères et exigences en rapport avec les obligations incombant au responsable du traitement; les sous-traitants; les critères et exigences spécifiques pour la documentation; la désignation et les missions du délégué à la protection des données; les codes de conduite; les critères et exigences applicables aux mécanismes de certification; les transferts encadrés par des règles d'entreprise contraignantes; les traitements dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique. Il importe particulièrement que la Commission procède aux consultations appropriées tout au long de son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, les documents pertinents au Parlement européen et au Conseil. |
Amendement 26 Proposition de règlement Considérant 130 | |
|
Texte proposé par la Commission |
Amendement |
|
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès; le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; le niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; les divulgations non autorisées par le droit de l'Union; l'assistance mutuelle; les opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
(130) Afin de garantir des conditions uniformes pour la mise en œuvre du présent règlement, il y aurait lieu de conférer des compétences d'exécution à la Commission pour qu'elle définisse les formulaires types relatifs au traitement des données à caractère personnel des enfants; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès; le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; le niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; les divulgations non autorisées par le droit de l'Union; l'assistance mutuelle; les opérations conjointes; les décisions relevant du mécanisme de contrôle de la cohérence. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. |
Amendement 27 Proposition de règlement Considérant 131 | |
|
Texte proposé par la Commission |
Amendement |
|
(131) La procédure d'examen devrait être appliquée pour l'établissement des formulaires types en vue de l'obtention du consentement d'un enfant; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès; le droit à la portabilité des données; des formulaires types concernant les obligations du responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; le niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; les divulgations non autorisées par le droit de l'Union; l'assistance mutuelle; les opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes sont de portée générale. |
(131) La procédure d'examen devrait être appliquée pour l'établissement des formulaires types en vue de l'obtention du consentement d'un enfant; des procédures et formulaires types pour l'exercice des droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les formulaires types et les procédures pour le droit d'accès; des formulaires types concernant les obligations du responsable du traitement en matière de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification des violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation préalables; des normes techniques et des mécanismes de certification; les divulgations non autorisées par le droit de l'Union; l'assistance mutuelle; les opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes sont de portée générale. |
Amendement 28 Proposition de règlement Considérant 139 | |
|
Texte proposé par la Commission |
Amendement |
|
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n'apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l'Union européenne, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique, |
(139) Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n'apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits consacrés par la charte des droits fondamentaux de l'Union européenne, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la Charte des droits fondamentaux de l'Union européenne, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique, |
Amendement 29 Proposition de règlement Article 2 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) par les institutions, organes et organismes de l'Union; |
supprimé |
Amendement 30 Proposition de règlement Article 2 – paragraphe 2 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques; |
d) par une personne physique sans but lucratif dans le cadre de ses activités exclusivement personnelles ou domestiques et à condition que les données à caractère personnel ne soient pas rendues accessibles à un nombre indéfini de personnes; |
Justification | |
Il convient de clarifier le champ d'application de cette exception, notamment en raison de l'essor des réseaux sociaux qui permettent le partage d'informations avec des centaines de personnes. La Cour de justice (affaires C-101/01 et C-73/07) préconise l'accessibilité ‘par un nombre indéfini de personnes' comme critère d'application de cette exception. Le CEPD est du même avis. | |
Amendement 31 Proposition de règlement Article 2 – paragraphe 2 – point e bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e bis) par les autorités compétentes à des fins d'élaboration et de diffusion des statistiques officielles dont elles sont chargées; |
Justification | |
Afin de réduire la charge de réponse aux enquêtes, il convient que les INS et la Commission aient librement accès aux registres administratifs pertinents, à partir de leur administration publique respective, et puissent les utiliser dans la mesure où ces données sont nécessaires au développement, à l'établissement et à la diffusion de statistiques européennes. | |
Amendement 32 Proposition de règlement Article 2 – paragraphe 2 – point e ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e ter) qui ont été rendues anonymes. |
Justification | |
Par définition, les données anonymes ne constituent pas des données à caractère personnel. | |
Amendement 33 Proposition de règlement Article 2 – paragraphe 2 – point e quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
e quater) par les autorités compétentes à des fins de recensement électoral; |
Justification | |
Afin de réduire la charge de réponse aux enquêtes, il convient que les INS et la Commission aient librement accès aux registres administratifs pertinents, à partir de leur administration publique respective, et puissent les utiliser dans la mesure où ces données sont nécessaires au développement, à l'établissement et à la diffusion de statistiques européennes. | |
Amendement 34 Proposition de règlement Article 4 – point 1 | |
|
Texte proposé par la Commission |
Amendement |
|
(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
(1) "personne concernée": une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par une autre personne physique ou morale, notamment par référence à un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; |
Amendement 35 Proposition de règlement Article 4 – point 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(2 bis) "données anonymes": toutes les informations qui n'ont jamais été reliées à une personne concernée ou ont été collectées, modifiées ou traitées de manière qu'il ne soit pas possible de les attribuer à une personne concernée; |
Amendement 36 Proposition de règlement Article 4 – point 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(3 bis) "données pseudonymes": toutes données à caractère personnel qui ont été collectées, modifiées ou traitées de toute autre manière de sorte que, considérées isolément, elles ne puissent être attribuées à une personne concernée sans qu'il soit fait recours à des données complémentaires, lesquelles sont soumises à des contrôles techniques et organisationnels séparés et distincts visant à garantir cette non-attribution; |
Amendement 37 Proposition de règlement Article 4 – point 3 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(3 ter) "profilage": toute forme de traitement automatisé ayant pour objectif de fournir une évaluation ou de générer des données sur des aspects liés à des personnes physiques, ou d'analyser ou prédire le rendement au travail d'une personne physique, sa situation économique, l'endroit où il se trouve, sa santé, ses préférences, sa fiabilité, son comportement ou sa personnalité; |
Justification | |
Profiling can entail serious risks for data subjects. It is prone to reinforcing discriminations, making decisions less transparent and carries an unavoidable risk of wrong decisions. For these reasons, it should be tightly regulated: its use should be clearly limited, and in those cases where it can be used, there should be safeguards against discrimination and data subjects should be able to receive clear and meaningful information on the logic of the profiling and its consequences. While some circles see profiling as a panacea for many problems, it should be noted that there is a significant body of research addressing its limitations. Notably, profiling tends to be useless for very rare characteristics, due to the risk of false positives. Also, profiles can be hard or impossible to verify. Profiles are based on complex and dynamic algorithms that evolve constantly and that are hard to explain to data subjects. Often, these algorithms qualify as commercial secrets and will not be easily provided to data subjects. However, when natural persons are subject to profiling, they should be entitled to information about the logic used in the measure, as well as an explanation of the final decision if human intervention has been obtained. This helps to reduce intransparency, which could undermine trust in data processing and may lead to loss or trust in especially online services. There is also a serious risk of unreliable and (in effect) discriminatory profiles being widely used, in matters of real importance to individuals and groups, which is the motivation behind several suggested changes in this Article that aim to improve the protection of data subjects against discrimination. In relation to this, the use of sensitive data in generating profiles should also be restricted. | |
Amendement 38 Proposition de règlement Article 4 – point 5 | |
|
Texte proposé par la Commission |
Amendement |
|
(5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
(5) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre; |
Amendement 39 Proposition de règlement Article 4 – point 10 | |
|
Texte proposé par la Commission |
Amendement |
|
(10) "données génétiques": toutes les données, de quelque nature que ce soit, concernant les caractéristiques d'une personne physique qui sont héréditaires ou acquises à un stade précoce de son développement prénatal; |
(10) "données génétiques": les informations sur les caractéristiques héréditaires, ou leur altération, d'une personne identifiée ou identifiable, obtenues par l'analyse de l'acide nucléique; |
Justification | |
La définition proposée est trop large et transformerait des caractéristiques héritées, telles que la couleur des yeux et des cheveux, en données sensibles nécessitant une protection accrue. Le changement proposé s'appuie sur les normes internationales en vigueur. | |
Amendement 40 Proposition de règlement Article 4 – point 13 | |
|
Texte proposé par la Commission |
Amendement |
|
(13) "établissement principal": en ce qui concerne le responsable du traitement, le lieu de son établissement dans l'Union où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; si aucune décision quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel n'est prise dans l'Union, l'établissement principal est le lieu où sont exercées les principales activités de traitement dans le cadre des activités d'un établissement d'un responsable du traitement dans l'Union; en ce qui concerne le sous-traitant, on entend par "établissement principal" le lieu de son administration centrale dans l'Union; |
(13) "établissement principal": le lieu de l'établissement de l'entreprise ou du grouep d'entreprises dans l'Union, qu'il s'agisse du responsable du traitement ou du sous-traitant, où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel; |
|
|
Il peut être notamment tenu compte des critères objectifs suivants: |
|
|
(1) la localisation du siège du responsable du traitement ou du sous-traitant; |
|
|
|
|
|
(2) la localisation de l'entité au sein du groupe d'entreprises qui est la mieux placée en termes de fonctions de direction et de responsabilités administratives pour s'occuper des règles exposées dans le présent règlement et les faire appliquer; ou |
|
|
(3) l'emplacement où les activités de gestion effectives et réelles sont exercées en déterminant le traitement des données au moyen d'accords stables; |
|
|
a) l'entreprise ou le groupe d'entreprises dans l'Union, qu'il s'agisse du responsable du traitement ou du sous-traitant, désigne l'établissement principal pour le respect de la protection des données et communique cette information à l'autorité de contrôle compétente; |
|
|
b) en cas de désaccord sur la désignation de l'établissement principal, l'autorité de contrôle notifiée peut demander l'avis du Comité européen de la protection des données; |
Amendement 41 Proposition de règlement Article 4 – point 19 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(19 bis) "autorité de contrôle compétente": une autorité de contrôle exerçant une compétence exclusive pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant, conformément à l'article 51, paragraphe 2. |
Amendement 42 Proposition de règlement Article 4 – point 19 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(19 ter) "statistiques officielles": les informations quantitatives et qualitatives, agrégées et représentatives, caractérisant un phénomène collectif au sein d'une population considérée; |
Amendement 43 Proposition de règlement Article 4 – point 19 quater (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
(19 quater) "recensements électoraux": les données à caractère personnel et les données concernant le lieu de résidence des électeurs; |
Amendement 44 Proposition de règlement Article 5 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel; |
Justification | |
Cette modification, qui permet un traitement "non excessif", est plus appropriée. Elle consiste en une référence à la formulation de la directive originale 95/46/CE sur la protection des données et vise à éviter les incohérences avec d'autres règles de l'Union, telles que la directive sur le crédit à la consommation et le paquet législatif relatif aux exigences en matière de fonds propres, qui exigent également des institutions de prêt, par exemple, de traiter des données à caractère personnel. | |
Amendement 45 Proposition de règlement Article 5 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) exactes et tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai; |
d) exactes et, le cas échéant, tenues à jour; toutes les mesures raisonnables sont prises pour que les données inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai; |
Justification | |
Gain de clarté, de simplicité et d'efficacité. | |
Amendement 46 Proposition de règlement Article 5 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique ou scientifique conformément aux règles et aux conditions énoncées à l'article 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu'à des fins de recherche historique, statistique, agrégée ou scientifique conformément aux règles et aux conditions énoncées aux articles 81 et 83 et s'il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation; |
Amendement 47 Proposition de règlement Article 6 – paragraphe 1 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. |
Justification | |
Le rapporteur propose de conserver la formulation de la directive 95/46/CE. Il est rappelé que le règlement ne concerne pas seulement le monde numérique mais s'appliquera aussi aux activités hors ligne. Pour le financement de leurs activités, certains secteurs, comme celui de l'édition des journaux, ont besoin d'utiliser des sources extérieures pour contacter des potentiels nouveaux abonnés. | |
Amendement 48 Proposition de règlement Article 6 – paragraphe 1 – point f bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
f bis) le traitement est nécessaire à des fins de détection et de prévention de la fraude conformément au règlement financier applicable, aux codes de bonnes pratiques industriels ou aux codes des organismes professionnels établis. |
Justification | |
L'expérience pratique a montré qu'une "obligation légale" n'inclut pas le règlement financier ou les codes de conduite nationaux qui sont fondamentaux pour la prévention et la détection de la fraude, et qui sont d'une importance capitale pour les responsables du traitement des données et pour la protection des personnes concernées. | |
Amendement 49 Proposition de règlement Article 6 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
4. Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées, le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à f). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat. |
Justification | |
La référence devrait inclure le point f) du paragraphe 1 car autrement, des conditions plus strictes s'appliqueraient au traitement ultérieur qu'à la collecte de données à caractère personnel. | |
Amendement 50 Proposition de règlement Article 6 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. |
supprimé |
Justification | |
La proposition de règlement prévoit un nombre considérable d'actes délégués qui n'est pas justifié. Plus précisément, il existe une jurisprudence en la matière et la question du consentement pour le traitement des données à caractère personnel des enfants est régie par l'article 8. | |
Amendement 51 Proposition de règlement Article 7 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire. |
2. Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître sous une forme qui le distingue de cette autre affaire. En ce qui concerne les services de la société de l'information en particulier, le consentement de la personne concernée peut être communiqué par voie électronique. |
Amendement 52 Proposition de règlement Article 7 – paragraphe 3 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 bis. Lorsque la personne concernée retire son consentement, le responsable du traitement peut refuser de continuer à lui fournir un service si le traitement des données est nécessaire à l'exécution de ce service ou à la spécificité de ce service. |
Amendement 53 Proposition de règlement Article 7 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement. |
4. Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement, qui entraîne une absence de liberté dans l'octroi du consentement. |
Justification | |
Il fallait davantage de sécurité juridique car il existe un certain nombre de situations où il y a un déséquilibre important entre la personne concernée et le responsable du traitement des données; par exemple, une relation d'emploi, une relation docteur - patient, etc. Il importe de souligner l'absence de liberté lors de l'octroi du consentement. | |
Amendement 54 Proposition de règlement Article 7 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. La législation de l'État membre où réside une personne qui ne dispose pas de la capacité juridique à agir s'applique pour déterminer les conditions dans lesquelles le consentement est donné ou autorisé par ladite personne. |
Amendement 55 Proposition de règlement Article 8 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Aux fins du présent règlement, s'agissant de l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles. |
1. Aux fins du présent règlement, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans requerrait normalement que le consentement soit donné ou autorisé par un parent de l'enfant ou par un représentant légal. Les modalités appropriées pour l'obtention du consentement devraient être fonction du risque auquel l'enfant est exposé, le cas échéant, du fait du volume des données, de leur type et de la nature du traitement. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles. Les méthodes permettant d'obtenir un consentement vérifiable ne doivent pas aboutir à un traitement ultérieur de données à caractère personnel qui, autrement, ne serait pas nécessaire. |
Amendement 56 Proposition de règlement Article 8 – paragraphe 4 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
4 bis. Les paragraphes 1, 2 et 3 ne s'appliquent pas lorsque le traitement de données à caractère personnel d'un enfant concerne des données relatives à la santé et lorsque la législation de l'État membre concerné dans le domaine de la santé et des services sociaux fait primer la compétence d'une personne par rapport à son âge physique. |
Justification | |
Dans le contexte de la santé et des services sociaux, l'autorisation d'un parent ou du tuteur d'un enfant ne devrait pas être nécessaire lorsque l'enfant a la compétence pour prendre une décision le concernant. Dans les cas relevant de la protection de l'enfance, il n'est pas toujours dans l'intérêt de la personne concernée que ses parents ou son tuteur aient accès à ses données, ce qui devrait être exprimé dans la législation. | |
Amendement 57 Proposition de règlement Article 9 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. |
1. Le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l'appartenance et les activités syndicales, ainsi que le traitement des données génétiques ou des données concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits. Ce principe suppose en particulier des garanties permettant de prévenir l'inscription de travailleurs sur une liste noire, par exemple en lien avec leurs activités syndicales ou leur rôle de représentants dans le domaine de la santé et de la sécurité. |
Justification | |
Il est nécessaire d'indiquer plus précisément que les données à caractère personnel ne seront jamais utilisées à l'encontre de la personne concernée dans un contexte d'emploi. En outre, il importe de souligner qu'il conviendrait d'interdire l'accès aux données à caractère personnel des travailleurs en ce qui concerne leur appartenance syndicale, mais aussi les éventuelles activités syndicales auxquelles ils pourraient prendre part. | |
Amendement 58 Proposition de règlement Article 9 – paragraphe 2 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou |
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit dans le cadre d'une procédure judiciaire ou administrative de quelque nature que ce soit; ou |
Justification | |
Il convient d'élargir cette disposition afin de préciser que cette catégorie de données peut être traitée lorsqu'il s'agit de constater, d'exercer ou de défendre un droit dans le cadre de tout type de procédure judiciaire ou administrative. | |
Amendement 59 Proposition de règlement Article 9 – paragraphe 2 – point j | |
|
Texte proposé par la Commission |
Amendement |
|
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
j) le traitement des données relatives aux condamnations pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par la législation d'un État membre prévoyant des garanties adéquates. Un registre complet ou partiel des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. |
Justification | |
Tout registre de ce type, qu'il soit complet ou partiel, doit être tenu sous le contrôle de l'autorité publique. | |
Amendement 60 Proposition de règlement Article 9 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriées pour le traitement des catégories particulières de données à caractère personnel mentionnées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2. |
supprimé |
Justification | |
La délégation de pouvoir prévue au paragraphe 3 est excessive, car elle habilite la Commission à développer des aspects essentiels de cet instrument, et le domaine concerné est particulièrement délicat pour la catégorie de données visée. Il semble donc plus approprié de développer ces aspects dans le règlement lui-même. | |
Amendement 61 Proposition de règlement Article 10 | |
|
Texte proposé par la Commission |
Amendement |
|
Si les données traitées par un responsable du traitement ne lui permettent pas d'identifier une personne physique, le responsable du traitement n'est pas tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. |
Si les données traitées par un responsable du traitement ne lui permettent pas d'identifier une personne physique, le responsable du traitement n'est pas tenu de recourir à des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. |
Amendement 62 Proposition de règlement Article 11 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement procède à toutes information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, adaptés à la personne concernée, en particulier lorsqu'une information est adressée spécifiquement à un enfant. |
2. Le responsable du traitement procède à toute information et communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, en particulier lorsqu'une information est adressée spécifiquement à un enfant. |
Justification | |
L'information ou la communication relatives au traitement des données doivent être claires et intelligibles. La mention “adaptes à la personne concernée” risque de créer une insécurité juridique. Il parait proportionné d'imposer une obligation particulière uniquement à l'égard des enfants qui constituent une catégorie spécifique. | |
Amendement 63 Proposition de règlement Article 12 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai d'un mois à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. Le responsable du traitement informe la personne concernée sans tarder et, au plus tard, dans un délai de 40 jours civils à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure conformément aux articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé si plusieurs personnes concernées exercent leurs droits, avec pour conséquence un nombre exceptionnellement élevé de demandes, et si leur coopération est suffisamment nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Cependant, le responsable du traitement doit répondre aux demandes dans les meilleurs délais et, s'il y est invité, justifier la prolongation du délai auprès de l'autorité de contrôle. Ces informations sont données par écrit ou, si cela est faisable, le responsable du traitement des données peut donner accès à une plateforme en ligne sécurisée permettant à la personne concernée d'accéder directement à ses données à caractère personnel. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement ou que ce format ne soit pas disponible. |
Justification | |
La suppression des frais pourrait se traduire par une augmentation du nombre de demandes d'accès aux données ce qui, ajouté à la brièveté des délais, mettrait grandement sous pression les entreprises ainsi que les divers organisations et organismes publics. Les données ne sont pas toujours disponibles sous forme électronique et on accroîtrait la charge administrative en ajoutant cette obligation. Les responsables du traitement devraient être autorisés et encouragés à fournir les données sur des plates-formes en ligne sécurisées permettant aux personnes concernées d'accéder directement et aisément aux données à très peu de frais pour les responsables du traitement. | |
Amendement 64 Proposition de règlement Article 12 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
4. Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur volume élevé, de leur complexité ou de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais appropriés, sans but lucratif, pour fournir les informations ou pour prendre les mesures demandées, ou peut refuser de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande. |
Justification | |
La fourniture de données détenues dans une base de données a un coût. Exiger une contribution appropriée, sans but lucratif, de la part de la personne concernée pour l'accès aux données aiderait à limiter les demandes peu sérieuses et jouerait un rôle essentiel pour dissuader les fraudeurs de demander d'importants volumes de données sur des crédits de consommateurs, qui pourraient être utilisées à des fins frauduleuses. | |
Amendement 65 Proposition de règlement Article 12 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4. |
supprimé |
Justification | |
Il n'y a pas lieu de préciser davantage cette disposition par un acte délégué. Les autorités de contrôle des Etats membres sont mieux placées pour remédier aux éventuelles difficultés. | |
Amendement 66 Proposition de règlement Article 12 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Justification | |
Les autorités de contrôle des Etats membres sont mieux placées pour remédier aux éventuelles difficultés. | |
Amendement 67 Proposition de règlement Article 14 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données; |
a) les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données; |
Amendement 68 Proposition de règlement Article 14 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les finalités du traitement auquel sont destinées les données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l'article 6, paragraphe 1, point b), et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f). |
b) les finalités du traitement auquel sont destinées les données à caractère personnel et les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f); |
Amendement 69 Proposition de règlement Article 14 – paragraphe 1 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) la durée pendant laquelle les données à caractère personnel seront conservées; |
c) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée, |
Amendement 70 Proposition de règlement Article 14 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité; |
e) le droit d'introduire une réclamation auprès de l'autorité de contrôle; |
Justification | |
L'obligation de préciser les coordonnées de l'autorité de contrôle, associée à la responsabilité concernant toute information erronée, nécessiterait une révision permanente des informations concernées, ce qui serait disproportionné pour les petites et moyennes entreprises en particulier. | |
Amendement 71 Proposition de règlement Article 14 – paragraphe 1 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers ou l'organisation internationale en question, par référence à une décision relative au caractère adéquat du niveau de protection rendue par la Commission; |
g) le cas échéant, son intention d'effectuer un transfert vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision relative au caractère adéquat du niveau de protection rendue par la Commission; |
Justification | |
L'information au sujet d'une décision ou de l'absence d'une décision de la part de la Commission, assure un niveau suffisant d'information de la personne concernée et clarifie l'obligation du responsable du traitement. | |
Amendement 72 Proposition de règlement Article 14 – paragraphe 1 – point h | |
|
Texte proposé par la Commission |
Amendement |
|
h) toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées. |
h) toute autre information jugée nécessaire par le responsable du traitement pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées. |
Justification | |
Il faut clarifier la portée de cette disposition et préciser que des responsables du traitement peuvent assurer un niveau plus élevé de transparence. | |
Amendement 73 Proposition de règlement Article 14 – paragraphe 4 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) au moment où les données à caractère personnel sont recueillies auprès de la personne concernée; ou |
a) en général, au moment où les données à caractère personnel sont recueillies auprès de la personne concernée ou dès que possible si cela n'est pas réalisable, requiert un effort disproportionné ou réduit les garanties dont bénéficie la personne concernée; ou |
Justification | |
Un minimum de souplesse peut être nécessaire pour certaines activités. De plus, les autorités de surveillance pourraient facilement évaluer s'il en est fait bon usage. Qui plus est, selon les modalités de collecte des données, la fourniture de ces informations immédiatement après la collecte, par écrit ou en ligne, donnera de meilleures garanties à la personne concernée qui pourra ainsi prendre dûment connaissance de la situation. | |
Amendement 74 Proposition de règlement Article 14 – paragraphe 4 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, et au plus tard au moment où les données sont communiquées pour la première fois. |
b) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l'enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou traitées, ou si la communication à un autre destinataire est envisagée, au plus tard au moment où les données sont communiquées pour la première fois, ou si les données sont utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication avec cette personne. |
Amendement 75 Proposition de règlement Article 14 – paragraphe 5 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés; ou |
b) les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés et générerait des charges administratives excessives, en particulier lorsque le traitement est effectué par une PME au sens de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises1; ou |
|
|
_____________ |
|
|
1 JO L 124 du 20.5.2003, p. 36. |
Justification | |
Le présent amendement vise à faire en sorte que le règlement ne fasse pas peser des charges administratives inutiles sur les PME. | |
Amendement 76 Proposition de règlement Article 14 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. |
supprimé |
Justification | |
Les actes délégués prévus au paragraphe 7 vont au-delà des limites généralement applicables à cette matière, étant donné qu'ils portent sur des éléments qui, le cas échéant, devraient être traités par le règlement lui-même. | |
Amendement 77 Proposition de règlement Article 15 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) la durée pendant laquelle les données à caractère personnel seront conservées; |
d) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée, |
Amendement 78 Proposition de règlement Article 15 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée en fait la demande sous forme électronique, les informations sont fournies sous forme électronique, à moins que la personne concernée ne demande qu'il en soit autrement. |
2. La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement et, sur demande électronique, d'obtenir une copie électronique des données non commerciales faisant l'objet d'un traitement, sous un format structuré qui est couramment utilisé et qui permet la réutilisation de ces données. Le responsable du traitement vérifie l'identité d'une personne concernée qui demande l'accès aux données dans les limites des articles 5 à 10 du présent règlement. |
Amendement 79 Proposition de règlement Article 17 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Les établissements de crédit qui conservent des données pour les motifs suivants sont exemptés des exigences du présent article: |
|
|
- gestion des risques; |
|
|
- satisfaction des exigences de l'UE et internationales en matière de surveillance et de conformité; |
|
|
- lutte contre les abus de marché. |
Amendement 80 Proposition de règlement Article 17 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. |
supprimé |
Justification | |
Étant donné la nature de l'internet et les possibilités de mettre en ligne des informations sur divers sites dans le monde entier, cette disposition n'est pas réaliste. | |
Amendement 81 Proposition de règlement Article 17 – paragraphe 3 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80; |
a) à l'exercice du droit à la liberté d'expression, conformément à l'article 80 ou à la fourniture d'un service de la société de l'information qui facilite l'accès à cette liberté d'expression; |
Justification | |
Le texte proposé par la Commission n'arme pas suffisamment les médias pour défendre leurs droits à l'ère numérique. | |
Amendement 82 Proposition de règlement Article 17 – paragraphe 3 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81; |
b) à des fins médicales ou pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81; |
Justification | |
Il est dans l'intérêt vital de la personne concernée de garder un dossier complet de ses données médicales de manière à ce qu'elle reçoive les meilleurs soins et traitements tout au long de sa vie. Le droit à l'oubli ne devrait pas s'appliquer lorsque les données sont traitées à des fins médicales, comme il est prévu à l'article 81, point a). | |
Amendement 83 Proposition de règlement Article 17 – paragraphe 3 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi; |
d) au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par la législation d'un État membre à laquelle le responsable du traitement est soumis en vertu du droit de l'Union; la législation de l'État membre doit répondre à un objectif d'intérêt général, respecter le contenu essentiel du droit à la protection des données à caractère personnel et être proportionnée à l'objectif légitime poursuivi; |
Amendement 84 Proposition de règlement Article 17 – paragraphe 9 | |
|
Texte proposé par la Commission |
Amendement |
|
9. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser: |
supprimé |
|
a) les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données; |
|
|
b) les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2; |
|
|
c) les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4. |
|
Justification | |
En ce qui concerne les actes délégués, nous ne pouvons accepter le paragraphe 9 de cet article dans la mesure où il porte sur la réglementation d'aspects essentiels à la bonne compréhension de la législation. Si ces aspects doivent nécessairement être traités, ils devraient l'être dans le règlement lui-même. | |
Amendement 85 Proposition de règlement Article 19 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsqu'il est fait droit à une opposition conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées. |
3. Lorsqu'il est fait droit à une opposition conformément au paragraphe 1, le responsable du traitement informe la personne concernée des raisons impérieuses et légitimes qui s'appliquent conformément au paragraphe 1 ou, à défaut, il n'utilise ni ne traite plus les données à caractère personnel concernées; lorsqu'il est fait droit à une opposition conformément au paragraphe 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées. |
Justification | |
Si le responsable du traitement peut invoquer des raisons impérieuses et légitimes en réponse au droit d'opposition, rien ne justifie que la simple formulation de l'opposition ait les conséquences prévues au paragraphe 3. | |
Amendement 86 Proposition de règlement Article 20 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. |
1. Toute personne concernée a le droit de ne pas être soumise à une décision qui produit des effets juridiques néfastes ou la touche d'une manière néfaste et qui est fondée exclusivement ou principalement sur le traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne. |
Justification | |
Il est important de tenir compte du fait que certaines activités de profilage ont des avantages considérables pour les consommateurs et peuvent être une bonne base pour un bon service à ces derniers. La définition large du profilage ne fait pas de différence entre des activités de traitement de données de routine qui sont bénéfiques et un profilage plus contestable. Le profilage bénéfique est souvent utilisé pour adapter les services aux consommateurs en consignant leurs besoins et leurs préférences. | |
Amendement 87 Proposition de règlement Article 20 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1 que si le traitement: |
2. Sous réserve des autres dispositions du présent règlement, une personne concernée ne peut être soumise à une décision telle que celle visée au paragraphe 1 que si le traitement: |
|
a) est effectué dans le cadre de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d'exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d'obtenir une intervention humaine; ou |
a) est autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou |
|
b) est expressément autorisé par une législation de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou |
b) est licite conformément à l'article 6, paragraphe 1, points a) à f), du présent règlement. |
|
c) est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l'article 7 et de garanties appropriées. |
|
|
|
Le profilage ne devrait pas avoir pour effet de discriminer des individus sur la base,notamment, de leur race ou de leur origine ethnique, de leur religion ou de leur orientation sexuelle, sans préjudice de l'article 9, paragraphe 2. |
(Le point b) du texte de la Commission est devenu points a) dans l'amendement du Parlement et est également modifié.) | |
Amendement 88 Proposition de règlement Article 20 – paragraphe 3 ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
3 ter. Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique n'est pas utilisé pour identifier ou individualiser des enfants. |
Justification | |
Profiling can entail serious risks for data subjects. It is prone to reinforcing discriminations, making decisions less transparent and carries an unavoidable risk of wrong decisions. For these reasons, it should be tightly regulated: its use should be clearly limited, and in those cases where it can be used, there should be safeguards against discrimination and data subjects should be able to receive clear and meaningful information on the logic of the profiling and its consequences. While some circles see profiling as a panacea for many problems, it should be noted that there is a significant body of research addressing its limitations. Notably, profiling tends to be useless for very rare characteristics, due to the risk of false positives. Also, profiles can be hard or impossible to verify. Profiles are based on complex and dynamic algorithms that evolve constantly and that are hard to explain to data subjects. Often, these algorithms qualify as commercial secrets and will not be easily provided to data subjects. However, when natural persons are subject to profiling, they should be entitled to information about the logic used in the measure, as well as an explanation of the final decision if human intervention has been obtained. This helps to reduce intransparency, which could undermine trust in data processing and may lead to loss or trust in especially online services. There is also a serious risk of unreliable and (in effect) discriminatory profiles being widely used, in matters of real importance to individuals and groups, which is the motivation behind several suggested changes in this Article that aim to improve the protection of data subjects against discrimination. In relation to this, the use of sensitive data in generating profiles should also be restricted. | |
Amendement 89 Proposition de règlement Article 20 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2. |
supprimé |
Amendement 90 Proposition de règlement Article 21 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Toute mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux finalités du traitement et aux modalités d'identification du responsable du traitement. |
2. Toute mesure législative visée au paragraphe 1 doit notamment contenir des dispositions spécifiques relatives, au moins, aux objectifs poursuivis par le traitement, aux finalités du traitement et aux modalités d'identification du responsable du traitement. |
Justification | |
Pour assurer un niveau plus élevé de protection, en cas de limitation, la législation doit mentionner également les objectifs poursuivis par le traitement des données à caractère personnel. | |
Amendement 91 Proposition de règlement Article 22 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Obligations incombant au responsable du traitement |
Principe général de responsabilité du responsable du traitement |
Justification | |
Le principe de responsabilité qui est implicitement introduit par le chapitre 4 de la proposition de règlement doit être explicitement mentionne pour assurer un niveau plus élevé de protection. | |
Amendement 92 Proposition de règlement Article 22 – paragraph 2 – introductory wording | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les mesures prévues au paragraphe 1 portent notamment sur: |
2. Les mesures prévues au paragraphe 1 pourraient porter notamment sur: |
Justification | |
Il est préférable de promouvoir ces mesures en tant que bonnes pratiques, notamment pour éviter de créer une obligation irréaliste d'un point de vue réglementaire. | |
Amendement 93 Proposition de règlement Article 22 – paragraphe 2 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) la désignation d'un délégué à la protection des données en application de l'article 35, paragraphe 1. |
e) la désignation d'un délégué à la protection des données en application de l'article 35, paragraphe 1, ou l'obligation et le maintien d'une certification conformément aux politiques de certification définies par la Commission. |
Amendement 94 Proposition de règlement Article 22 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises. |
supprimé |
Amendement 95 Proposition de règlement Article 23 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. |
1. Compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles et des coûts liés à leur mise en œuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées au regard des activités et de leurs finalités, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. |
Amendement 96 Proposition de règlement Article 23 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques. |
2. Le responsable du traitement met en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel qui ne sont pas excessives pour chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées, conservées ou communiquées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques. |
Amendement 97 Proposition de règlement Article 23 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l'ensemble des secteurs, produits et services. |
supprimé |
Justification | |
Cette proposition de règlement s'applique à tous les secteurs tant en ligne que hors ligne. Il n'appartient pas à la Commission d'adopter des actes délégués en matière de protection des données dès la conception et par défaut qui risqueraient de porter atteinte à l'innovation technologique. Les autorités de contrôle des Etats membres et le comité européen de protection des données sont mieux places pour remédier aux difficultés éventuelles. | |
Amendement 98 Proposition de règlement Article 23 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
supprimé |
Justification | |
Cette proposition de règlement s'applique à tous les secteurs tant en ligne que hors ligne. Il n'appartient pas à la Commission d'établir des normes techniques qui risqueraient de porter atteinte à l'innovation technologique. Les autorités de contrôle des Etats membres et le comité européen de protection des données sont mieux places pour remédier aux difficultés éventuelles. | |
Amendement 99 Proposition de règlement Article 24 | |
|
Texte proposé par la Commission |
Amendement |
|
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. |
Lorsqu'un responsable du traitement définit, conjointement avec d'autres, les finalités du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d'accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. |
Amendement 100 Proposition de règlement Article 25 – paragraphe 2 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) à une entreprise employant moins de 250 salariés; ou |
b) à une entreprise employant moins de 250 salariés, à moins que les traitements effectués par celle-ci ne soient considérées par les autorités de surveillance comme étant à haut risque compte tenu de leurs caractéristiques, du type de données ou du nombre de personnes concernées; ou |
Amendement 101 Proposition de règlement Article 26 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d'un groupe d'entreprises, en particulier aux fins de contrôle et de présentation de rapports. |
supprimé |
Justification | |
Les pouvoirs conférés à la Commission nous semblent excessifs. Si ces aspects sont considérés comme essentiels, ils doivent être couverts par le texte du règlement lui-même. | |
Amendement 102 Proposition de règlement Article 28 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire de tous les traitements effectués sous leur responsabilité. |
1. Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent une trace documentaire des principales catégories de traitement effectué sous leur responsabilité. |
Amendement 103 Proposition de règlement Article 28 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. L'obligation visée au paragraphe 1 ne s'applique pas aux PME pour lesquelles le traitement des données n'est qu'une activité secondaire corollaire de la vente de biens et services. |
Justification | |
Il importe d'appliquer ici le principe de priorité aux PME et de tenir dûment compte des PME pour lesquelles cette obligation constituerait une charge très lourde. Les activités de traitement de données des PME qui ne représentent pas plus de 50% du chiffres d'affaire de l'entreprise, doivent être considérées comme des activités secondaires. | |
Amendement 104 Proposition de règlement Article 28 – paragraphe 2 – point d et e | |
|
Texte proposé par la Commission |
Amendement |
|
d) une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant; |
d) le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l'existence de garanties appropriées; |
|
e) les destinataires ou les catégories de destinataires des données à caractère personnel, y compris les responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent; |
e) la description des mécanismes prévus à l'article 22, paragraphe 3. |
Justification | |
Des critères de responsabilité plus rigoureux devraient s'appliquer aux organismes qui ne disposent pas d'un délégué à la protection des données ou d'une certification suffisante, ce qui passe par l'établissement d'un modèle déterminé et la fourniture d'un minimum de documentation sous la forme prévue par la loi. | |
Amendement 105 Proposition de règlement Article 28 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement. |
5. La Commission adopte des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous-traitant et, le cas échéant, du représentant du responsable du traitement. |
Amendement 106 Proposition de règlement Article 28 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
6. La Commission établit des formulaires types pour la documentation visée au paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
Amendement 107 Proposition de règlement Article 29 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe. |
1. Le responsable du traitement et, s'il y a lieu, le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l'autorité de contrôle dans l'exécution de ses fonctions, en communiquant notamment les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe. |
Justification | |
Il convient de préciser, dans le libellé du paragraphe 1, que contrairement au responsable du traitement, le sous-traitant sera sollicité s'il y a lieu de le faire et non d'une manière générale. | |
Amendement 108 Proposition de règlement Article 29 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 53, paragraphe 2, le responsable du traitement et le sous-traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle-ci. La réponse comprend une description des mesures prises et des résultats obtenus, compte tenu des observations formulées par l'autorité de contrôle. |
2. Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 53, paragraphe 2, le responsable du traitement, soit en personne soit par l'intermédiaire de son représentant, et le sous-traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle-ci. La réponse comprend une description des mesures prises et des résultats obtenus, compte tenu des observations formulées par l'autorité de contrôle. |
Justification | |
Le paragraphe 2 ne mentionne pas la possibilité de faire appel au représentant lorsque le responsable du traitement est établi dans un pays tiers. | |
Amendement 109 Proposition de règlement Article 30 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique. |
supprimé |
Justification | |
La proposition de règlement prévoit un nombre considérable d'actes délégués qui n'est pas justifié. Plus précisément, l'adoption de mesures techniques de la part de la Commission en matière de sécurité des traitements risquerait de porter atteinte a l'innovation technologique. En outré le paragraphe 4 du même article prévoit l'adoption d'actes d'exécution pour préciser les exigences prévues aux paragraphes 1 et 2. | |
Amendement 110 Proposition de règlement Article 30 – paragraphe 4 – alinéa 1 | |
|
Texte proposé par la Commission |
Amendement |
|
4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue: |
supprimé |
|
a) d'empêcher tout accès non autorisé à des données à caractère personnel; |
|
|
b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel; |
|
|
c) d'assurer la vérification de la licéité des traitements. |
|
Amendement 111 Proposition de règlement Article 31 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard. |
1. En cas de violation de données à caractère personnel qui affecte de manière significative la personne concernée, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié. |
Amendement 112 Proposition de règlement Article 31 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. En vertu de l'article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel. |
2. En vertu de l'article 26, paragraphe 2, point f), le sous-traitant alerte et informe le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel visée au paragraphe 1.
|
Amendement 113 Proposition de règlement Article 31 – paragraphe 2 – alinéa 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
La communication à la personne concernée d'une violation de ses données à caractère personnel n'est pas exigée si le responsable du traitement a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données visées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès. |
Amendement 114 Proposition de règlement Article 31 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à l'établissement de la violation de données visée aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel. |
supprimé |
Justification | |
Les actes délégués de la Commission devraient se limiter, en l'occurrence, à l'établissement d'un formulaire type pour la notification des incidents et la tenue du registre des défaillances et de leurs conséquences. | |
Amendement 115 Proposition de règlement Article 33 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants: |
2. Les traitements présentant les risques particuliers visés au paragraphe 1 sont les suivants: |
Justification | |
La liste des traitements qui doivent faire l'objet d'une étude d'impact, énoncée à l'article 33, paragraphe 2, est formulée de manière générale. Dans le respect du principe de proportionnalité et pour avoir une sécurité juridique elle doit être limitative. | |
Amendement 116 Proposition de règlement Article 33 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements. |
supprimé |
Justification | |
Imposer une obligation générale de consultation des personnes concernées aux responsables du traitement quelque soit le secteur concerne, avant tout traitement des données parait disproportionné. | |
Amendement 117 Proposition de règlement Article 33 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement. |
5. Lorsque le responsable du traitement est une autorité ou un organisme publics ou lorsque les données sont traitées par un autre organisme qui a été chargé d'exécuter des missions de service public, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement. |
Justification | |
C'est la nature du service fourni et non celle de l'organisme fournissant ce service qui détermine l'application ou non des règles en matière d'analyse d'impact. Par exemple, les organismes privés se voient souvent confier la responsabilité de fournir des services publics. La prestation de services publics devrait faire l'objet d'une seule et unique approche, indépendamment de la question de savoir si l'organisme fournissant ce service est une autorité ou un organisme publics, ou bien une organisation privée opérant sous contrat. | |
Amendement 118 Proposition de règlement Article 33 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l'analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. |
supprimé |
Justification | |
Les actes délégués ne sont pas justifiés ici, car ils porteraient sur des aspects essentiels du règlement. Il convient, selon nous, que le règlement fixe lui-même sa portée. | |
Amendement 119 Proposition de règlement Article 34 – titre | |
|
Texte proposé par la Commission |
Amendement |
|
Autorisation et consultation préalables |
Consultation préalable |
Justification | |
L'article 34, paragraphe 1er doit être déplacé au chapitre 5 qui porte sur le transfert de données à caractère personnel vers un pays tiers ou à une organisation international. Par conséquent, le titre de l'article doit être modifié. | |
Amendement 120 Proposition de règlement Article 34 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale. |
supprimé |
Amendement 121 Proposition de règlement Article 34 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d'assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées. |
supprimé |
Justification | |
Bien que nous saluions l'inclusion dans le processus législatif de consultations sur la nature et l'opportunité des mesures envisagées, un règlement de l'Union ne nous semble pas être l'instrument approprié pour des dispositions de ce type touchant au processus législatif des États membres. | |
Amendement 122 Proposition de règlement Article 35 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) le traitement est effectué par une entreprise employant 250 personnes ou plus; ou |
supprimé |
Amendement 123 Proposition de règlement Article 35 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. Les responsables du traitement et les sous-traitants des PME nomment un délégué à la protection des données uniquement si les activités de base des PME consistent en des traitements de données qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées. |
Justification | |
La nomination d'un délégué à la protection des données ne devrait pas être liée au nombre d'employés mais devrait faire l'objet d'une approche fondée sur les risques portant sur les traitements ainsi que sur le nombre de personnes concernées dont les données sont traitées par l'organisation. | |
Amendement 124 Proposition de règlement Article 35 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans le cas visé au paragraphe 1, point b), un groupe d'entreprises peut désigner un délégué à la protection des données unique. |
2. Dn groupe d'entreprises peut désigner un délégué à la protection des données unique. |
Amendement 125 Proposition de règlement Article 35 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données. |
4. Le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données. |
Amendement 126 Proposition de règlement Article 35 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37, conformément à des normes professionnelles rigoureuses. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. |
Justification | |
Bien que le délégué à la protection des données doive exercer ses fonctions selon des normes professionnelles rigoureuses (amendement au paragraphe 5), une des raisons pouvant justifier sa démission est le manquement grave à cette obligation (voir l'amendement au paragraphe 7). | |
Amendement 127 Proposition de règlement Article 35 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci. |
7. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci ou en cas de manquement grave en relation avec celles-ci.
|
Justification | |
Cette disposition peut, selon nous, aller à l'encontre de la liberté de contracter des services et nuire au jeu de la concurrence sur le marché. La durée fixée concerne des aspects du droit du travail ou du statut des fonctionnaires publics, ce qui peut poser problème. Il convient donc de fixer les conditions et garanties relatives à la fonction de délégué à la protection des données par d'autres moyens qu'une durée minimale d'exercice de cette fonction. | |
Amendement 128 Proposition de règlement Article 35 – paragraphe 11 | |
|
Texte proposé par la Commission |
Amendement |
|
11. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5. |
supprimé |
Amendement 129 Proposition de règlement Article 36 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 37. |
3. Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et, le cas échéant, fournissent le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l'article 37. |
Justification | |
Il nous semble que cette disposition a été libellée ainsi en pensant essentiellement aux délégués à la protection des données comme des employés d'une entreprise ou des fonctionnaires d'une institution, sans pour autant couvrir dûment les possibilités d'externalisation de cette fonction au travers de contrats de service. | |
Amendement 130 Proposition de règlement Article 37 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement et conserver une trace documentaire de cette activité et des réponses reçues; |
a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement; |
Amendement 131 Proposition de règlement Article 37 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1. |
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et exigences applicables à la certification et au statut du délégué. |
Justification | |
Les travaux de la Commission devraient ici se concentrer sur la certification et sur le statut du délégué afin que, là où il existe, ce poste soit occupé par des personnes dotées des capacités nécessaires dûment attestées. | |
Amendement 132 Proposition de règlement Article 38 – paragraphe 1 – point a bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
a bis) le respect des droits du consommateur; |
Amendement 133 Proposition de règlement Article 39 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements. |
1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de politiques de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les politiques de certification en matière de protection des données contribuent à la bonne application du présent règlement ainsi qu'à la mise en œuvre des actions et à l'obtention des avantages qu'il prévoit, compte tenu des spécificités des divers secteurs et des différents traitements. |
|
|
Les politiques de certification au niveau de l'Union sont conçues par le comité européen de la protection des données, avec la participation d'autres parties intéressées, et sont officiellement approuvées par la Commission. Ces politiques se concentrent non seulement sur les institutions, mais également tout particulièrement sur les opérateurs en la matière. |
|
|
Les politiques de certification répondent aux besoins spécifiques des acteurs des différents secteurs d'activité, en tenant tout particulièrement compte des besoins spécifiques des micro-entreprises, des petites et moyennes entreprises, ainsi que de la nécessité de contenir leurs coûts, afin qu'elles puissent devenir un instrument efficace. L'obtention, le renouvellement et la perte des certifications entraîneront les conséquences prévues par le présent règlement. |
Justification | |
Les certifications doivent s'articuler autour d'une procédure rigoureuse en vue du renforcement des capacités qui doit être dotée d'une vie propre et d'une capacité de mise à jour. Les certifications doivent faire l'objet, dans certains cas précis, d'un renouvellement et d'une mise à jour. Il faut pouvoir les annuler quand des manquements graves sont commis, qui vont à l'encontre de leur maintien. De tels manquements doivent avoir pour conséquence immédiate la perte des avantages que les certifications peuvent conférer. | |
Amendement 134 Proposition de règlement Article 40 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 40 bis |
|
|
Autorisation préalable |
|
|
Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale. |
Amendement 135 Proposition de règlement Article 41 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation spécifique. |
1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique. |
Justification | |
Le premier paragraphe de cette disposition, en utilisant l'expression "nouvelles autorisations" semble laisser entendre que même s'il existe une décision relative au caractère adéquat du niveau de protection, une autorisation initiale est nécessaire pour le transfert. Nous ne le pensons pas. C'est précisément la possibilité de réaliser des transferts sans autorisation préalable spécifique qui rend possibles les décisions relatives au caractère adéquat du niveau de protection. C'est pourquoi, nous proposons de modifier le libellé en remplaçant "nouvelles autorisations" par "autorisations spécifiques". | |
Amendement 136 Proposition de règlement Article 41 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. |
3. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. |
Justification | |
Les décisions de la Commission ne doivent pas être adoptées selon la seule procédure d'examen. En outre, le comité européen de protection de données doit être consulté dans ce contexte. | |
Amendement 137 Proposition de règlement Article 41 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5. |
6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est limité, aux termes résultant des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5. |
Justification | |
L'utilisation du terme "interdit" doit être nuancée, d'où son remplacement par "limité". | |
Amendement 138 Proposition de règlement Article 42 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant. |
1. Lorsque la Commission n'a pas adopté de décision en vertu l'article 41, ou lorsqu'elle a constaté qu'un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant, le cas échéant sur la base d'une analyse d'impact, que le destinataire des données dans le pays tiers applique des normes élevées en matière de protection des données. |
Amendement 139 Proposition de règlement Article 43 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. L'autorité de contrôle qui approuve des règles d'entreprise contraignantes est celle du lieu de l'établissement principal du responsable du traitement ou du sous-traitant. |
Justification | |
Le Groupe de travail article 29 a mis en place un système de reconnaissance mutuelle des règles d'entreprises contraignantes (WP 107 du 14 avril 2005 et en ce qui concerne les sous traitants WP 195 du 6 juin 2012). Il faut inclure ce système de reconnaissance mutuelle dans le présent règlement. Le critère de désignation de l'autorité compétente devrait être le lieu de l'établissement principal, qui est celui énoncé à l'article 51, paragraphe 2 du règlement. | |
Amendement 140 Proposition de règlement Article 44 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) le transfert soit nécessaire pour des motifs importants d'intérêt général; ou |
d) le transfert soit nécessaire pour des motifs importants d'intérêt général par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale, ou en cas de transfert aux autorités compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière; ou |
Amendement 141 Proposition de règlement Article 44 – paragraphe 1 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou |
e) le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou au niveau administratif; ou |
Justification | |
Il convient d'inclure également la possibilité du recours administratif, étant donné qu'il marque, dans de nombreux cas, le point de départ pour l'exercice et la défense des droits subjectifs. | |
Amendement 142 Proposition de règlement Article 44 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les "motifs importants d'intérêt général" au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues au paragraphe 1, point h). |
supprimé |
Justification | |
Les actes délégués prévus au paragraphe 7 nous paraissent excessifs, étant donné qu'ils portent sur des aspects essentiels du dispositif et non sur le seul développement. Si l'on estime qu'il est nécessaire de compléter certains aspects essentiels des règles contenues dans cet article, c'est la règle concernée qui doit être modifiée. | |
Amendement 143 Proposition de règlement Article 47 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. L'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés. |
1. Les autorités de contrôle exercent en toute indépendance les missions et les pouvoirs qui leur sont confiés. |
Amendement 144 Proposition de règlement Article 47 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans l'accomplissement de leur mission, les membres de l'autorité de contrôle ne sollicitent ni n'acceptent d'instructions de quiconque. |
2. Dans l'accomplissement de leur mission, les membres des autorités de contrôle ne sollicitent ni n'acceptent d'instructions de quiconque. |
Amendement 145 Proposition de règlement Article 47 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Chaque État membre veille à ce que l'autorité de contrôle dispose des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données. |
5. Chaque État membre veille, conformément à sa répartition interne des compétences, à ce que les autorités de contrôle disposent des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de leurs fonctions et pouvoirs, notamment ceux qu'elles doivent mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données. |
Amendement 146 Proposition de règlement Article 47 – paragraphe 6 | |
|
Texte proposé par la Commission |
Amendement |
|
6. Chaque État membre veille à ce que l'autorité de contrôle dispose de son propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci. |
6. Chaque État membre veille, conformément à sa répartition interne des compétences, à ce que les autorités de contrôle disposent de leur propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci. |
Amendement 147 Proposition de règlement Article 47 – paragraphe 7 | |
|
Texte proposé par la Commission |
Amendement |
|
7. Les États membres veillent à ce que l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que l'autorité de contrôle dispose de budgets annuels propres. Les budgets sont rendus publics. |
7. Les États membres veillent, conformément à leur répartition interne des compétences, à ce que les autorités de contrôle soient soumises à un contrôle financier qui ne menace pas leur indépendance. Les États membres veillent, conformément à leur répartition interne des compétences, à ce que les autorités de contrôle disposent de budgets annuels propres. Les budgets sont rendus publics. |
Amendement 148 Proposition de règlement Article 48 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque État membre prévoit que les membres de l'autorité de contrôle doivent être nommés soit par son parlement, soit par son gouvernement. |
1. Chaque État membre prévoit que les membres de l'autorité ou des autorités de contrôle doivent être nommés soit par son parlement, soit par les organes de son gouvernement. |
Amendement 149 Proposition de règlement Article 48 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Les fonctions des membres prennent fin à l'échéance de leur mandat, en cas de démission ou de mise à la retraite d'office conformément au paragraphe 5. |
3. Les fonctions des membres prennent fin à l'échéance de leur mandat, en cas d'incapacité soudaine empêchant l'exercice de la charge, d'incompatibilité, de démission, de destitution, de condamnation définitive pour délit intentionnel ou de mise à la retraite d'office. |
Amendement 150 Proposition de règlement Article 48 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Un membre peut être déclaré démissionnaire ou déchu du droit à pension ou d'autres avantages en tenant lieu par la juridiction nationale compétente, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave. |
4. Un membre peut être démis de ses fonctions ou destitué par la juridiction qui l'a nommé, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il s'est rendu coupable d'un manquement grave aux obligations liées à sa charge. |
Amendement 151 Proposition de règlement Article 49 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) l'établissement et le statut d'indépendance de l'autorité de contrôle; |
a) l'établissement et le statut d'indépendance des autorités de contrôle; |
Amendement 152 Proposition de règlement Article 49 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les qualifications, l'expérience et les compétences requises pour exercer les fonctions de membre de l'autorité de contrôle; |
b) les qualifications, l'expérience et les compétences requises pour exercer les fonctions de membre des autorités de contrôle; |
Amendement 153 Proposition de règlement Article 49 – point c | |
|
Texte proposé par la Commission |
Amendement |
|
c) les règles et les procédures pour la nomination des membres de l'autorité de contrôle, ainsi que les règles relatives aux activités ou emplois incompatibles avec leurs fonctions; |
c) les règles et les procédures pour la nomination des membres des autorités de contrôle, ainsi que les règles relatives aux activités ou emplois incompatibles avec leurs fonctions; |
Amendement 154 Proposition de règlement Article 49 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) la durée du mandat des membres de l'autorité de contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier mandat après l'entrée en vigueur du présent règlement, qui peut être d'une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de l'autorité de contrôle au moyen d'une procédure de nominations échelonnées; |
d) la durée du mandat des membres des autorités de contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier mandat après l'entrée en vigueur du présent règlement, qui peut être d'une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance des autorités de contrôle au moyen d'une procédure de nominations échelonnées; |
Amendement 155 Proposition de règlement Article 49 – point e | |
|
Texte proposé par la Commission |
Amendement |
|
e) le caractère renouvelable ou non renouvelable du mandat des membres de l'autorité de contrôle; |
e) le caractère renouvelable ou non renouvelable du mandat des membres des autorités de contrôle; |
Amendement 156 Proposition de règlement Article 49 – point f | |
|
Texte proposé par la Commission |
Amendement |
|
f) le statut et les conditions communes régissant les fonctions des membres et agents de l'autorité de contrôle; |
f) le statut et les conditions communes régissant les fonctions des membres et agents des autorités de contrôle; |
Amendement 157 Proposition de règlement Article 49 – point g | |
|
Texte proposé par la Commission |
Amendement |
|
g) les règles et les procédures relatives à la cessation des fonctions des membres de l'autorité de contrôle, y compris lorsqu'ils ne remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou s'ils ont commis une faute grave. |
g) les règles et les procédures relatives à la cessation des fonctions des membres des autorités de contrôle, y compris lorsqu'ils ne remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou s'ils ont commis une faute grave. |
Amendement 158 Proposition de règlement Article 50 | |
|
Texte proposé par la Commission |
Amendement |
|
Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles. |
Les membres et agents des autorités de contrôle sont soumis, y compris après la cessation de leurs activités, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles. |
Amendement 159 Proposition de règlement Article 51 – paragraphe 1 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
1 bis. En cas de réclamation d'une personne concernée ou d'un organisme, d'une organisation ou association, tels que visés à l'article 73, paragraphe 2, l'autorité de contrôle compétente pour prendre des mesures est celle de l'État membre où la réclamation a été introduite. |
Amendement 160 Proposition de règlement Article 51 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l'Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement. |
2. Dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans plus d'un État membre, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant, y compris pour adopter des décisions au titre du présent règlement, dans tous les États membres. |
|
|
L'autorité de contrôle compétente coopère avec les autres autorités de contrôle et la Commission conformément aux dispositions du chapitre VII du présent règlement. |
|
|
En cas de désaccord concernant l'application du présent règlement, toute autorité de contrôle peut demander l'avis du Comité européen de la protection des données. |
Amendement 161 Proposition de règlement Article 52 – paragraphe 1 – point d | |
|
Texte proposé par la Commission |
Amendement |
|
d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; |
d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle pour faire suite à une plainte de la police, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; |
Justification | |
Selon nous, il convient d'envisager l'intervention des autorités policières au moyen d'une plainte comme une cause possible d'ouverture d'une enquête, lorsqu'à la suite des activités de la police apparaissent des faits pertinents pouvant constituer une atteinte à la vie privée des personnes. | |
Amendement 162 Proposition de règlement Article 52 – paragraphe 1 – point j bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
j bis) coordonne les politiques de certification sur le territoire dont elle a la responsabilité, conformément aux dispositions de l'article 39. |
Justification | |
Compte tenu du critère que nous maintenons dans notre position concernant le renforcement des politiques de certification, il importe de préciser les pouvoirs de l'autorité ou des autorités de surveillance ou de contrôle quant à ces politiques. | |
Amendement 163 Proposition de règlement Article 53 – paragraphe 1 – point j ter (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
j ter) d'effectuer des audits ou d'établir des plans d'audit sur la protection des données à caractère personnel. |
Amendement 164 Proposition de règlement Article 54 | |
|
Texte proposé par la Commission |
Amendement |
|
Chaque autorité de contrôle doit établir un rapport annuel sur son activité. Le rapport est présenté au parlement national, il est rendu public et mis à la disposition de la Commission et du comité européen de la protection des données. |
Chaque autorité de contrôle doit établir un rapport annuel sur son activité. Le rapport est présenté au parlement respectif et/ou aux autres autorités prévues par le droit national; il est rendu public et mis à la disposition de la Commission et du comité européen de la protection des données. |
Justification | |
Il convient d'introduire un amendement pour que son libellé corresponde également à la situation des pays disposant de plus d'une autorité de contrôle ou de surveillance sur leur territoire. | |
Amendement 165 Proposition de règlement Article 59 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Lorsque l'autorité de contrôle concernée n'entend pas se conformer à l'avis de la Commission, elle en informe la Commission et le comité européen de la protection des données dans le délai visé au paragraphe 1 et motive sa décision. Dans cette éventualité, l'autorité de contrôle s'abstient d'adopter le projet de mesure pendant un délai supplémentaire d'un mois. |
4. Lorsque l'autorité de contrôle concernée n'entend pas se conformer à l'avis de la Commission, elle en informe la Commission et le comité européen de la protection des données dans le délai visé au paragraphe 1 et motive sa décision. |
Justification | |
This additional time period seems unreasonable. | |
Amendement 166 Proposition de règlement Article 62 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Pour des raisons impérieuses d'urgence dûment justifiées, tenant aux intérêts de personnes concernées dans les cas visés au paragraphe 1, point a), la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 87, paragraphe 3. Ces actes restent en vigueur pendant une période n'excédant pas douze mois. |
supprimé |
Justification | |
Cette prérogative de la Commission porte atteinte à l'indépendance des autorités de contrôle. | |
Amendement 167 Proposition de règlement Article 66 – paragraphe 1 – point g bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
g bis) de proposer les bases de la politique européenne de certification et d'assurer le suivi et l'évaluation des certifications en soumettant ses résultats à la Commission. |
Amendement 168 Proposition de règlement Article 69 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Le comité européen de la protection des données élit son président et deux vice-présidents en son sein. L'un des vice-présidents est le contrôleur européen de la protection des données, à moins qu'il ait été élu président. |
1. Le comité européen de la protection des données élit son président et deux vice-présidents en son sein. |
Justification | |
Il n'y a pas de raison pour que le contrôleur ait plus le droit qu'aucune autre autorité d'assumer de façon permanente un poste de vice-président. | |
Amendement 169 Proposition de règlement Article 73 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement. |
1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d'introduire une réclamation auprès de l'autorité de contrôle dans l'État membre de son lieu de résidence habituelle ou dans l'État membre où le responsable du traitement a son établissement principal si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement. |
Amendement 170 Proposition de règlement Article 73 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Indépendamment d'une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation de données à caractère personnel. |
supprimé |
Amendement 171 Proposition de règlement Article 74 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Toute personne concernée a le droit de former un recours juridictionnel en vue d'obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l'autorité de contrôle, n'informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b). |
2. Au terme des trois mois suivant le dépôt d'une réclamation, si l'autorité de contrôle n'a pas informé la personne concernée de la suite donnée à la réclamation en question, celle-ci est réputée rejetée. De la même façon, une réclamation sera réputée rejetée si, au terme des six mois suivant son introduction, l'autorité de contrôle ne s'est pas définitivement prononcée à son sujet. |
Justification | |
Dans un souci de sécurité juridique, il convient d'établir un délai maximal concernant la prise de décisions sur les dossiers de réclamation, et nous le fixons à six mois. Il serait envisageable de prévoir un délai plus long dans des cas exceptionnels. En tout état de cause, on estime que les réclamations doivent également faire l'objet d'un délai maximal quant aux informations à fournir à l'intéressé sur la suite donnée à sa réclamation; ce délai, s'il n'est pas respecté, doit être considéré comme un refus et en comporter les mêmes effets. | |
Amendement 172 Proposition de règlement Article 74 – paragraphe 4 | |
|
Texte proposé par la Commission |
Amendement |
|
4. Toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre. |
supprimé |
Justification | |
Cette possibilité n'apporte pas une plus value aux citoyens et risque de compromettre le bon déroulé de la collaboration des autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence. | |
Amendement 173 Proposition de règlement Article 75 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. Lorsqu'une procédure qui concerne la même mesure, décision ou pratique est en cours dans le cadre du mécanisme de contrôle de la cohérence prévu à l'article 58, une juridiction peut surseoir à statuer dans le litige dont elle est saisie, sauf si l'urgence de l'affaire pour la protection des droits de la personne concernée ne permet pas d'attendre l'issue de la procédure en cours dans le cadre du mécanisme de contrôle de la cohérence. |
3. Lorsqu'une procédure qui concerne la même mesure, décision ou pratique est en cours dans le cadre du mécanisme de contrôle de la cohérence prévu à l'article 58, une juridiction peut surseoir à statuer dans le litige dont elle est saisie, à la demande de l'une des parties et après avoir entendu toutes les parties, sauf si l'urgence de l'affaire pour la protection des droits de la personne concernée ne permet pas d'attendre l'issue de la procédure en cours dans le cadre du mécanisme de contrôle de la cohérence. |
Justification | |
La suspension de la procédure ne doit pouvoir avoir lieu qu'à la demande de l'une des parties, une fois que toutes les parties ont été entendues lors d'une audience contradictoire. Il s'agit là de la solution la plus adaptée à ce type de procédures. | |
Amendement 174 Proposition de règlement Article 76 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Tout organisme, organisation ou association visé à l'article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et 75 au nom d'une ou de plusieurs personnes concernées. |
supprimé |
Justification | |
Un tel mécanisme ne se justifie pas sur le plan pratique. | |
Amendement 175 Proposition de règlement Article 77 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage. |
2. Lorsque plusieurs responsables du traitement ou sous-traitants ont participé au traitement, chacun d'entre eux est solidairement responsable de la totalité du montant du dommage. En cas de responsabilité solidaire, le sous-traitant qui a réparé le dommage de la personne concernée peut exercer un recours contre le responsable du traitement pour réclamer le remboursement, s'il a agi conformément à l'acte juridique visé à l'article 26, paragraphe 2. |
Amendement 176 Proposition de règlement Article 79 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Chaque autorité de contrôle est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
1. L'autorité de contrôle compétente, conformément à l'article 51, paragraphe 2, est habilitée à infliger des sanctions administratives en conformité avec le présent article. |
Amendement 177 Proposition de règlement Article 79 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en oeuvre conformément à l'article 23 et du degré de coopération avec l'autorité de contrôle en vue de remédier à la violation. |
2. Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte, entre autres: |
|
|
a) de la nature, de la gravité et de la durée de la violation, |
|
|
b) de la sensibilité des données concernées, |
|
|
c) du fait que l'infraction a été commise de propos délibéré ou par négligence, |
|
|
d) du degré de coopération ou du refus de coopérer à une procédure de mise en œuvre ou de la volonté de l'entraver, |
|
|
e) des mesures prises par la personne physique ou morale pour assurer le respect des obligations pertinentes, |
|
|
f) du degré de risque de préjudice important créé par l'infraction, |
|
|
g) du degré de responsabilité de la personne physique ou morale et de violations antérieurement commises par elle, |
|
|
h) des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l'autorité de contrôle en vue de remédier à la violation. |
(Une partie paragraphe 2 du texte de la Commission est devenue points a), c , g) et h) dans l'amendement du Parlement.) | |
Amendement 178 Proposition de règlement Article 79 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. L'autorité de contrôle peut donner un avertissement par écrit sans imposer aucune sanction. L'autorité de contrôle peut infliger une amende pouvant s'élever, en cas de violations répétées et délibérées, jusqu'à 1 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % de son chiffre d'affaires annuel mondial. |
Justification | |
Il faut conserver le montant de l'amende maximum qui peut être infligée par une autorité de contrôle et qui peut s'élever a 1 million EUR et pour les entreprises a 2 % de leur chiffre d'affaires annuel mondial. Toutefois, il faut conserver l'indépendance des autorités de contrôle consacrée à l'article 8 (3) de la Charte des droits fondamentaux de l'UE. En outre, le mécanisme de contrôle de la cohérence et notamment l'article 58, paragraphes 3 et 4, peut contribuer à une politique harmonisée dans l'UE en matière de sanctions administrative. | |
Amendement 179 Proposition de règlement Article 79 – paragraphe 3 – points a et b | |
|
Texte proposé par la Commission |
Amendement |
|
a) lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou |
a) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés est disposée à collaborer avec l'autorité de contrôle afin d'établir des mesures correctives permettant d'éviter des manquements similaires à l'avenir. La collaboration à laquelle ce point fait référence est définie sur la base des engagements fermes auxquels il aura été souscrit auprès de l'autorité de contrôle. L'absence de collaboration avec l'autorité de contrôle dûment accréditée, au terme des six mois suivant le début du dossier, déterminera l'imposition de l'amende qui aurait dû être infligée. |
|
b) lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale. |
b) lorsqu'une administration publique collabore avec l'autorité de contrôle pour établir des mesures permettant d'éviter tout manquement similaire à l'avenir. La collaboration à laquelle il est fait référence sous le présent point est déterminée sur la base des accords ou des résolutions adoptés par l'administration concernée, dont il est fait mention dans les mesures prises. L'absence de collaboration avec l'autorité de contrôle dûment accréditée, au terme de l'année suivant le début du dossier, déterminera l'imposition de l'amende qui aurait dû être infligée. Aux fins du présent article, les antécédents concernant des sanctions définitives infligées pour des infractions dues à une négligence seront effacés selon les délais suivants: |
|
|
deux ans si les sanctions sont assorties d'amendes pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d'affaires annuel mondial; quatre ans si les sanctions sont assorties d'amendes pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d'affaires annuel mondial; six ans si les sanctions sont assorties d'amendes pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial. |
|
|
Aux fins du présent article, les antécédents concernant une sanction définitive pour des infractions dues à une négligence grave ou de façon délibérée seront effacés selon les délais suivants: |
|
|
cinq ans si les sanctions sont assorties d'amendes pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d'affaires annuel mondial; dix ans si les sanctions sont assorties d'amendes pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d'affaires annuel mondial; quinze ans si les sanctions sont assorties d'amendes pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial. |
(Une partie du point b) du texte de la Commission est devenue une partie du point a) dans l'amendement du Parlement.) | |
Justification | |
Il s'agit de d'établir un catalogue plus vaste de sanctions alternatives, en insistant tout particulièrement sur une stratégie basée sur la prévention des manquements. La majeure partie des sanctions de substitution prévues ont pour but de parvenir à des engagements qui définissent les moyens permettant d'éviter tout manquement à l'avenir. Les engagements correcteurs sont définis à partir des engagements pris auprès de l'autorité de contrôle ou bien d'actes ou de résolutions adoptés par l'administration concernée. | |
Amendement 180 Proposition de règlement Article 79 – paragraphes 4 à 7 | |
|
Texte proposé par la Commission |
Amendement |
|
4. L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
supprimé |
|
a) ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2; |
|
|
b) perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l'article 12, paragraphe 4. |
|
|
5. L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
|
|
a) ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14; |
|
|
b) ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13; |
|
|
c) ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l'effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17; |
|
|
d) omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l'article 18; |
|
|
e) omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24; |
|
|
f) ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3; |
|
|
g) ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d'expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique. |
|
|
6. L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial, à quiconque, de propos délibéré ou par négligence: |
|
|
a) traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8; |
|
|
b) traite des catégories particulières de données en violation des articles 9 et 81; |
|
|
c) ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l'article 19; |
|
|
d) ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20; |
|
|
e) omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30; |
|
|
f) omet de désigner un représentant conformément à l'article 25; |
|
|
g) traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement; |
|
|
h) omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32; |
|
|
i) omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34; |
|
|
j) omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37; |
|
|
k) fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39; |
|
|
l) effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44; |
|
|
m) ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1; |
|
|
n) ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2; |
|
|
o) ne respecte pas les règles de protection du secret professionnel conformément à l'article 84. |
|
|
7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins d'adapter le montant des amendes administratives prévues aux paragraphes 4, 5 et 6, en tenant compte des critères énoncés au paragraphe 2. |
|
Amendement 181 Proposition de règlement Article 80 – paragraphe 1 | |
|
Texte proposé par la Commission |
Amendement |
|
1. Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations aux dispositions sur les principes généraux du chapitre II, sur les droits de la personne concernée du chapitre III, sur le responsable du traitement et le sous-traitant du chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales du chapitre V, sur les autorités de contrôle indépendantes du chapitre VI et sur la coopération et la cohérence du chapitre VII, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression. |
1. Le chapitre II (principes généraux), le chapitre III (droits de la personne concernée), le chapitre IV (responsable du traitement et sous-traitant), le chapitre V (transfert de données à caractère personnel vers des pays tiers et à des organisations internationales), le chapitre VI (autorités de contrôle indépendantes), le chapitre VII (coopération et cohérence) et les articles 73, 74, 76 et 79 du chapitre VIII (voies de recours, responsabilité et sanctions) ne s'appliquent pas aux traitements de données à caractère personnel effectués aux fins de journalisme ou d'expression artistique ou littéraire, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression. |
Justification | |
The new draft legislation on data protection takes the form of a regulation and thus is directly applicable. If data protection law applies directly, the freedom of the press exception must also be directly applicable. An implementation by Member States should not lower down the current level of protection. Furthermore, the exemption should be extended to Articles 73, 74,76 and 79 of Chapter VIII (on Remedies, Liabilities and Sanctions) because these Articles include new elements which go far beyond what is foreseen in the current directive and are not suitable for journalistic activities or pose a serious threat to press freedom. The word "solely" undermines legal certainty as it provides for a potentially significant loophole which undermines the provision set by this article. | |
Amendement 182 Proposition de règlement Article 80 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. |
supprimé |
Amendement 183 Proposition de règlement Article 80 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
Article 80 bis |
|
|
Le traitement de données à caractère personnel et le principe de l'accès du public aux documents officiels |
|
|
Les données à caractère personnel figurant dans des documents détenus par une autorité ou une entité publique peuvent être divulguées par cette autorité ou entité conformément à la législation de l'État membre relative à l'accès aux documents officiels, qui concilie le droit à la protection des données à caractère personnel avec le principe de l'accès public aux documents officiels. |
Justification | |
Il est essentiel de veiller à ce que le contrôle public des affaires publiques ne soit pas indûment entravé par les règles de protection des données. Comme il ressort des avis du CEPD, du groupe de travail "article 29" et de l'Agence des droits fondamentaux de l'Union européenne, il y a donc lieu de garantir le principe d'accès du public aux documents officiels dans un article et pas seulement dans un considérant. | |
Amendement 184 Proposition de règlement Article 81 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 87, aux fins de préciser davantage d'autres motifs d'intérêt général dans le domaine de la santé publique au sens du paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
supprimé |
Justification | |
L'unique objection que nous soulevons pour l'instant contre cette disposition tient au pouvoir conféré à la Commission, au paragraphe 3, d'adopter des actes délégués. Selon nous, les limites acceptables pour la délégation législative sont dépassées et, par conséquent, les questions auxquelles il est fait référence doivent être traitées par ce même instrument, que ce soit dès à présent ou à l'occasion de réformes ultérieures qui s'avéreraient nécessaires, afin de garantir l'efficacité future du présent règlement. | |
Amendement 185 Proposition de règlement Article 82 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. |
supprimé |
Justification | |
La délégation prévue au paragraphe 3 en faveur de la Commission est excessive et les précisions la concernant doivent être indiquées dans la disposition adéquate. | |
Amendement 186 Proposition de règlement Article 83 – paragraphe 1 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si: |
1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique, ainsi qu'à des fins d'instruction préparatoire officielle ou administrative en vue de la détermination de la filiation naturelle, que si:
|
Justification | |
Afin de faciliter les enquêtes en matière de filiation naturelle en cas de vol ou d'enlèvement de nouveau-nés, nous proposons d'introduire une précision dans le premier paragraphe qui permette d'établir clairement la légitimité du traitement des données à cette fin. | |
Amendement 187 Proposition de règlement Article 83 – paragraphe 1 – point a | |
|
Texte proposé par la Commission |
Amendement |
|
a) ces finalités ne peuvent être atteintes d'une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d'identifier la personne concernée; |
a) ces finalités ne peuvent être raisonnablement atteintes par le traitement de données qui ne permettent pas ou ne permettent plus d'identifier la personne concernée; et |
Amendement 188 Proposition de règlement Article 83 – paragraphe 1 – point b | |
|
Texte proposé par la Commission |
Amendement |
|
b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière. |
b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière. |
|
|
Les données personnelles faisant l'objet d'un traitement dans le cadre d'une instruction préparatoire officielle ou administrative en vue de la détermination de la filiation naturelle sont communiquées uniquement aux intéressés, si nécessaire et sans préjudice de l'introduction d'une plainte au pénal si la loi le prévoit. |
Justification | |
Afin de faciliter les enquêtes en matière de filiation naturelle en cas de vol ou d'enlèvement de nouveau-nés, des précisions sont apportées au dernier alinéa du premier paragraphe quant aux sauvegardes nécessaires pour la protection des données à caractère personnel traitées dans le cadre d'instructions préparatoires officielles ou administratives, de telle sorte que ces données ne soient communiquées que dans les cas prévus par la loi. | |
Amendement 189 Proposition de règlement Article 83 – paragraphe 2 – partie introductive | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si: |
2. Les organismes effectuant des recherches historiques, statistiques, agrégées ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si: |
Amendement 190 Proposition de règlement Article 83 – paragraphe 2 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
2 bis. Le traitement ultérieur de données à des fins historiques, statistiques, agrégées ou de recherche scientifique n'est pas considéré comme incompatible avec l'article 5, paragraphe 1, point b), pour autant que le traitement: |
|
|
a) soit soumis aux conditions et garanties du présent article et |
|
|
b) respecte toute autre législation pertinente. |
Justification | |
La proposition actuelle pour l'article 83 semble autoriser le traitement de données médicales, sous une forme identifiable, à des fins de recherche, sans référence au consentement. Les seules garanties envisagées (que les données identifiables puissent être conservées de façon distincte et que les chercheurs puissent utiliser ces données identifiables uniquement si la recherche ne peut être faite en utilisant des données non-identifiables) réduisent considérablement la protection des données médicales. Le risque existe que la proposition actuelle autorise les chercheurs à utiliser des données identifiables sans consentement. | |
Amendement 191 Proposition de règlement Article 83 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d'information et d'accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause. |
supprimé |
Amendement 192 Proposition de règlement Article 85 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 prévoient la création d'une autorité de contrôle indépendante conformément au chapitre VI du présent règlement. |
2. Les églises et les associations religieuses qui appliquent un ensemble complet de règles conformément au paragraphe 1 prévoient la création d'une autorité de contrôle indépendante conformément au chapitre VI du présent règlement, ou obtiennent une certification suffisante pour les traitements à effectuer conformément à l'article 39. |
Justification | |
Faire coexister l'exigence concernant l'autorité de contrôle avec celle concernant la certification pourrait se révéler particulièrement utile pour les églises et les associations religieuses disposant de moindres ressources économiques. | |
Amendement 193 Proposition de règlement Article 86 – paragraphe 2 | |
|
Texte proposé par la Commission |
Amendement |
|
2. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43,paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conférée à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur du présent règlement. |
2. Le pouvoir d'adopter des actes délégués visé à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conféré à la Commission pour une durée indéterminée à compter de la date d'entrée en vigueur du présent règlement. |
Amendement 194 Proposition de règlement Article 86 – paragraphe 3 | |
|
Texte proposé par la Commission |
Amendement |
|
3. La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 6, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur. |
3. La délégation de pouvoir visée à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, à l'article 17, paragraphe 9, à l'article 20, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, à l'article 39, paragraphe 2, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 81, paragraphe 3, à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur. |
Amendement 195 Proposition de règlement Article 86 – paragraphe 5 | |
|
Texte proposé par la Commission |
Amendement |
|
5. Un acte délégué adopté en vertu de l'article 6, paragraphe 5, de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 12, paragraphe 5, de l'article 14, paragraphe 7, de l'article 15, paragraphe 3, de l'article 17, paragraphe 9, de l'article 20, paragraphe 6, de l'article 22, paragraphe 4, de l'article 23, paragraphe 3, de l'article 26, paragraphe 5, de l'article 28, paragraphe 5, de l'article 30, paragraphe 3, de l'article 31, paragraphe 5, de l'article 32, paragraphe 5, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 35, paragraphe 11, de l'article 37, paragraphe 2, de l'article 39, paragraphe 2, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7, de l'article 79, paragraphe 6, de l'article 81, paragraphe 3, de l'article 82, paragraphe 3, et de l'article 83, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
5. Un acte délégué adopté en vertu de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 14, paragraphe 7, de l'article 15, paragraphe 3, de l'article 17, paragraphe 9, de l'article 20, paragraphe 6, de l'article 22, paragraphe 4, de l'article 23, paragraphe 3, de l'article 26, paragraphe 5, de l'article 28, paragraphe 5, de l'article 31, paragraphe 5, de l'article 32, paragraphe 5, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 35, paragraphe 11, de l'article 37, paragraphe 2, de l'article 39, paragraphe 2, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7,de l'article 81, paragraphe 3, de l'article 82, paragraphe 3, et de l'article 83, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
Amendement 196 Proposition de règlement Article 86 – paragraphe 5 bis (nouveau) | |
|
Texte proposé par la Commission |
Amendement |
|
|
5 bis. Lors de l'adoption des actes visés au présent article, la Commission promeut la neutralité technologique. |
PROCÉDURE
|
Titre |
Protection des personnes physiques à l'égard du traitement des données à caractère personnel, et libre circulation de ces données (règlement général sur la protection des données) |
||||
|
Références |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Commission compétente au fond Date de l'annonce en séance |
LIBE 16.2.2012 |
|
|
|
|
|
Avis émis par Date de l'annonce en séance |
JURI 14.6.2012 |
||||
|
Rapporteur(e) pour avis Date de la nomination |
Marielle Gallo 14.6.2012 |
||||
|
Examen en commission |
10.7.2012 |
6.11.2012 |
21.2.2013 |
|
|
|
Date de l'adoption |
19.3.2013 |
|
|
|
|
|
Résultat du vote final |
+: –: 0: |
14 6 4 |
|||
|
Membres présents au moment du vote final |
Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Zbigniew Ziobro, Tadeusz Zwiefka |
||||
|
Suppléant(s) présent(s) au moment du vote final |
Piotr Borys, Eva Lichtenberger, Axel Voss |
||||
|
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Ricardo Cortés Lastra |
||||
PROCÉDURE
|
Titre |
Protection des personnes physiques à l’égard du traitement des données à caractère personnel, et libre circulation de ces données (règlement général sur la protection des données) |
||||
|
Références |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Date de la présentation au PE |
25.1.2012 |
|
|
|
|
|
Commission compétente au fond Date de l’annonce en séance |
LIBE 16.2.2012 |
|
|
|
|
|
Commission(s) saisie(s) pour avis Date de l’annonce en séance |
ECON 16.2.2012 |
EMPL 24.5.2012 |
ITRE 16.2.2012 |
IMCO 16.2.2012 |
|
|
|
JURI 14.6.2012 |
|
|
|
|
|
Avis non émis Date de la décision |
ECON 13.2.2012 |
|
|
|
|
|
Rapporteur(s) Date de la nomination |
Jan Philipp Albrecht 12.4.2012 |
|
|
|
|
|
Examen en commission |
27.2.2012 |
31.5.2012 |
9.7.2012 |
19.9.2012 |
|
|
|
5.11.2012 |
10.1.2013 |
21.1.2013 |
20.3.2013 |
|
|
|
6.5.2013 |
21.10.2013 |
|
|
|
|
Date de l’adoption |
21.10.2013 |
|
|
|
|
|
Résultat du vote final |
+: –: 0: |
48 1 3 |
|||
|
Membres présents au moment du vote final |
Jan Philipp Albrecht, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra |
||||
|
Suppléant(s) présent(s) au moment du vote final |
Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria |
||||
|
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski, Pablo Zalba Bidegain |
||||
|
Date du dépôt |
22.11.2013 |
||||