(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0011),

–  vu l'article 294, paragraphe 2, ainsi que l'article 16, paragraphe 2, et l'article 114, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7‑0025/2012),

–  vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–  vu les avis motivés soumis par la Chambre des représentants belge, le Bundesrat allemand, le Sénat français, la Chambre des députés italienne et le Parlement suédois, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,

–  vu l'avis du Comité économique et social européen du 23 mai 2012(1),

–  après consultation du Comité des régions,

–  vu l'avis du Contrôleur européen de la protection des données du 7 mars 2012(2),

–  vu l'avis de l'Agence des droits fondamentaux de l'Union européenne du 1er octobre 2012,

–  vu l'article 55 de son règlement,

–  vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures et les avis de la commission de l'emploi et des affaires sociales, de la commission de l'industrie, de la recherche et de l'énergie, de la commission du marché intérieur et de la protection des consommateurs et de la commission des affaires juridiques (A7-0402/2013),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

(1) JO C 229 du 31.7.2012, p. 90. (2) JO C 192 du 30.6.2012, p. 7.

(Texte présentant de l'intérêt pour l'EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2, et son article 114, paragraphe 1,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen(1),

après consultation du Comité des régions,

vu l’avis du Contrôleur européen de la protection des données(2),

statuant conformément à la procédure législative ordinaire(3),

considérant ce qui suit:

(1)  La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée « charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

(2)  Le traitement des données à caractère personnel est au service de l’homme; les principes et les règles régissant la protection des personnes physiques à l'égard du traitement des données les concernant devraient donc, quelle que soit la nationalité ou la résidence de ces personnes, respecter leurs libertés et leurs droits fondamentaux, notamment le droit à la protection des données à caractère personnel. Le traitement des données devrait contribuer à la réalisation d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu'au bien-être des personnes.

(3)  La directive 95/46/CE du Parlement européen et du Conseil(4) vise à harmoniser la protection des libertés et des droits fondamentaux des personnes physiques en ce qui concerne les activités de traitement de données et à garantir la libre circulation des données à caractère personnel entre les États membres.

(4)  L'intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à une augmentation substantielle des flux transfrontières. Les échanges de données entre acteurs économiques et sociaux, publics et privés, se sont intensifiés dans l'ensemble de l'Union. Le droit de l'Union appelle les autorités nationales des États membres à coopérer et à échanger des données à caractère personnel, afin d'être en mesure de remplir leurs missions ou d'accomplir des tâches pour le compte d'une autorité d'un autre État membre.

(5)  La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu’aux pouvoirs publics d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu’il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l’économie et les rapports sociaux, et elles exigent de faciliter davantage la libre circulation des données au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

(6)  Cette évolution oblige à mettre en place dans l’Union un cadre de protection des données plus solide et plus cohérent, assorti d'une application rigoureuse des règles, compte tenu de l'importance de susciter la confiance qui permettra à l’économie numérique de se développer dans l'ensemble du marché intérieur. Les personnes physiques devraient maîtriser l'utilisation qui est faite des données à caractère personnel les concernant, et la sécurité tant juridique que pratique devrait être renforcée pour les particuliers, les opérateurs économiques et les autorités publiques.

(7)  Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n'a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données à caractère personnel dans l'Union, une insécurité juridique et le sentiment, largement répandu dans le public, que des risques importants subsistent, notamment dans l’environnement en ligne. Si le niveau de protection des droits et libertés des personnes physiques ‑ notamment du droit à la protection des données à caractère personnel ‑ accordé dans les États membres à l’égard du traitement des données à caractère personnel n'est pas identique, cela risque d'entraver la libre circulation de ces données dans toute l'Union. Ces différences peuvent dès lors constituer un obstacle à l'exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s'acquitter des obligations qui leur incombent en vertu du droit de l'Union. Ces écarts de niveau de protection résultent de l'existence de divergences dans la transposition et l’application de la directive 95/46/CE.

(8)  Afin d'assurer la cohérence et un degré élevé de protection des personnes, et de lever les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et des libertés des personnes à l'égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union.

(9)  Une protection effective des données à caractère personnel dans toute l'Union exige non seulement de renforcer et de préciser les droits des personnes concernées, ainsi que les obligations de ceux qui effectuent ou déterminent le traitement des données à caractère personnel, mais aussi de conférer, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle de l'application des règles relatives à la protection des données à caractère personnel, et de prévoir des sanctions équivalentes pour les contrevenants.

(10)  L’article 16, paragraphe 2, du traité donne mandat au Parlement européen et au Conseil pour fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation de ces données.

(11)  Afin d'obtenir un niveau uniforme de protection des personnes physiques dans toute l'Union, et d'éviter que des divergences n'entravent la libre circulation des données au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, notamment les micro, petites et moyennes entreprises, pour assurer aux personnes de tous les États membres un même niveau de droits opposables, et des obligations et responsabilités égales pour les responsables du traitement des données et les sous‑traitants, de même que pour assurer une surveillance cohérente du traitement des données à caractère personnel, des sanctions équivalentes dans tous les États membres et une coopération efficace entre les autorités de contrôle des différents États membres. Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte un certain nombre de dérogations. Les institutions et organes de l'Union, les États membres et leurs autorités de contrôle sont, en outre, encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre l'application du présent règlement. Pour définir la notion de micro, petites et moyennes entreprises, il convient de s'inspirer de la recommandation 2003/361/CE de la Commission(5).

(12)  La protection conférée par le présent règlement concerne les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, dans le cadre du traitement des données à caractère personnel. En ce qui concerne le traitement de données relatives à des personnes morales, et en particulier des entreprises dotées de la personnalité juridique, notamment le nom, la forme juridique et les coordonnées de la personne morale, la protection conférée par le présent règlement ne devrait pas pouvoir être invoquée. Cela devrait être également le cas lorsque le nom de la personne morale contient le nom d’une ou plusieurs personnes physiques.

(13)  La protection des personnes devrait être neutre sur le plan technologique et ne pas dépendre des techniques utilisées, sous peine de créer de graves risques de contournement. Elle devrait s'appliquer aux traitements de données à caractère personnel automatisés ainsi qu'aux traitements manuels si les données sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés, ne devraient pas relever du champ d'application du présent règlement.

(14)  Le présent règlement ne traite pas des questions de protection des libertés et droits fondamentaux ou de libre circulation des données relatives à des activités n'entrant pas dans le champ d'application du droit de l'Union; il ne couvre pas non plus le traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, qui relève du règlement (CE) n° 45/2001(6), ni celui qui est fait par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l'Union.. Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil(7) devrait être mis en conformité avec le présent règlement et appliqué conformément à celui-ci. [Am. 1]

(15)  Le présent règlement ne devrait pas s'appliquer aux traitements de données à caractère personnel effectués par une personne physique, par exemple un échange de correspondance ou la tenue d'un carnet d'adresses ou une vente privée, qui sont exclusivement personnels, familiaux ou domestiques et sans but lucratif, donc sans lien aucun avec une activité professionnelle ou commerciale. Elle ne Toutefois, le présent règlement devrait pas valoir non plus pour les s'appliquer aux responsables du traitement de données ou et à leurs sous‑traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. [Am. 2]

(16)  La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et la libre circulation de ces données font l’objet d’un instrument juridique spécifique au niveau de l'Union. Le présent règlement ne devrait donc pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, le traitement de données à ces fins par des autorités publiques devrait être régi par cet instrument juridique plus spécifique au niveau de l'Union (à savoir la directive 2014/.../UE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et la libre circulation de ces données).

(17)  Le présent règlement devrait s'appliquer sans préjudice de la directive 2000/31/CE du Parlement européen et du Conseil(8), et notamment de ses articles 12 et 15 relatifs à la responsabilité des prestataires intermédiaires.

(18)  Le présent règlement permet de prendre en compte, dans la mise en œuvre de ses dispositions, le principe du droit d'accès du public aux documents officiels. Des données à caractère personnel contenues dans des documents en possession d'une autorité publique ou d'un organisme public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l'État membre en matière d'accès du public aux documents officiels, lequel concilie le droit à la protection des données et le droit d'accès du public aux documents officiels, et atteint un juste équilibre entre les différents intérêts en jeu. [Am. 3]

(19)  Tout traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou sous‑traitant situé sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui-même se déroule à l'intérieur de l'Union ou non. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable. La forme juridique retenue pour un tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.

(20)  Afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu du présent règlement, le traitement de données à caractère personnel concernant des personnes résidant dans l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services, qu'un paiement soit exigé ou non, à ces personnes concernées, ou à l' au suivi de ces personnes de leur comportement. Afin de déterminer si un tel responsable du traitement offre des biens ou des services à des personnes concernées dans l'Union, il y aurait lieu d'examiner s'il apparaît que le responsable du traitement envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. [Am. 4]

(21)  Afin de déterminer si une activité de traitement peut être considérée comme «observant le comportement» les personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur l'internet au moyen de, quelles que soient les origines des données, ou si d'autres données les concernant sont recueillies, y compris à partir de registres et d'annonces publics dans l'Union qui sont accessibles en dehors de l'Union, notamment dans l'intention d'utiliser ou en vue du recours ultérieur éventuel à des techniques de traitement de données consistant à appliquer un «profil» à un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit. [Am. 5]

(22)  Lorsque le droit national d’un État membre s’applique en vertu du droit international public, le présent règlement devrait s'appliquer également à un responsable du traitement de données qui n’est pas établi dans l’Union mais, par exemple, dans une mission diplomatique ou un poste consulaire d'un État membre.

(23)  Il y a lieu d'appliquer les principes de protection des données à toute information concernant une personne physique identifiée ou identifiable. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens raisonnablement susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ou isoler directement ou indirectement ladite personne. Il n'y a pas lieu Pour établir si des moyens sont raisonnablement susceptibles d'appliquerêtre mis en œuvre afin d'identifier une personne physique, il convient de considérer l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte à la fois des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Les principes de la protection des données ne devraient donc pas s'appliquer aux données anonymes, qui ont été rendues suffisamment anonymes pour que la sont des informations qui ne concernent pas une personne physique concernée ne soit plus identifiée ou identifiable. Le présent règlement ne s'applique par conséquent pas au traitement de ces données anonymes, y compris à des fins statistiques et de recherche. [Am. 6]

(24)  Lorsqu'elles utilisent des services en ligne, les personnes physiques se voient associerLe présent règlement devrait être applicable aux traitements impliquant des identifiants fournis en ligne tels que des adresses IP ou des témoins de connexion («cookies») par des appareils, applications, outils et protocoles utilisés. Ces, tels que des adresses IP, des témoins de connexion ("cookies") et des étiquettes d'identification par radiofréquence, à moins que ces identifiants peuvent laisser des traces qui, combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils et à identifier les personnes. Il en découle que des numéros d’identification, des données de localisation, des identifiants en ligne ou d’autres éléments spécifiques ne doivent pas nécessairement être considérés, en soi, comme des données à caractère personnel dans tous les cas de figure. ne concernent pas une personne physique identifiée ou identifiable. [Am. 7]

(25)  Le consentement devrait être donné de manière explicite, selon toute modalité appropriée permettant une manifestation de volonté libre, spécifique et informée, consistant soit en une déclaration soit en un acte non équivoque qui résulte du choix de la personne concernée, garantissant qu'elle consent bien en toute connaissance de cause au traitement des données à caractère personnel, par exemple en cochant. Un acte non équivoque de la personne concernée pourrait consister à cocher une case lorsqu'elle consulte un site internet ou par le biais de en toute déclaration ou tout comportement indiquant clairement dans ce contexte qu'elle accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement tacite, donné par la simple utilisation d'un service, ou passif. Le consentement donné devrait valoir pour toutes les activités de traitement effectuées ayant la ou les mêmes finalités. Si le consentement de la personne concernée est donné à la suite d'une demande par voie électronique, cette demande doit être claire, concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. [Am. 8]

(26)  Les données à caractère personnel concernant la santé devraient comprendre, en particulier, l'ensemble des données se rapportant à l'état de santé d'une personne concernée; les informations relatives à l'enregistrement du patient pour la prestation de services de santé; les informations relatives aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou un symbole attribué à un patient, ou des informations détaillées le concernant, destinés à l'identifier de manière univoque à des fins médicales; toute information relative au patient recueillie dans le cadre de la prestation de services de santé audit patient; des informations obtenues lors d'un contrôle ou de l'examen d'un organe ou d'une substance corporelle, y compris des échantillons biologiques; l'identification d'une personne en tant que prestataire de soins de santé au patient; ou toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'une épreuve diagnostique in vitro.

(27)  Le principal établissement d'un responsable du traitement devrait être déterminé en fonction de critères objectifs et devrait supposer l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités, aux conditions et aux modalités du traitement dans le cadre d'une installation stable. Ce critère ne devrait pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la présence et l'utilisation de moyens techniques et de technologies permettant le traitement de données à caractère personnel ou la réalisation d'activités de ce type ne constituent pas en soi l'établissement principal ni, dès lors, un critère déterminant à cet égard. On entend par «établissement principal du sous‑traitant» le lieu de son administration centrale dans l'Union.

(28)  Un groupe d’entreprises devrait consister en une entreprise qui exerce le contrôle et des entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel.

(29)  Les données à caractère personnel relatives aux enfants nécessitent une protection spécifique parce que ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données à caractère personnel. Afin de déterminer jusqu'à quel âge une personne est un enfant, le règlement devrait reprendre la définition retenue par la convention des Nations unies relative aux droits de l'enfant. Lorsque le traitement des données repose sur le consentement de la personne concernée s'agissant de l'offre directe de biens ou de services aux enfants, le consentement devrait être donné ou autorisé par un parent de l'enfant ou par un représentant légal lorsque l'enfant a moins de 13 ans. Lorsque le public visé est constitué d'enfants, il convient d'utiliser des termes adaptés à leur âge. D'autres fondements donnant lieu à un traitement licite, tels que l'intérêt public, devraient demeurer applicables, par exemple pour le traitement dans le contexte de services de prévention ou de conseil fournis directement à un enfant. [Am. 9]

(30)  Tout traitement de données à caractère personnel devrait être licite, loyal et transparent à l'égard des personnes concernées. En particulier, les finalités spécifiques du traitement devraient être explicites et légitimes, et déterminées lors de la collecte des données. Les données devraient être adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les données collectées ne soient pas excessives et à ce que leur durée de conservation soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures raisonnables afin que les données à caractère personnel qui sont inexactes soient rectifiées ou effacées. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique.

(31)  Pour être licite, le traitement devrait être fondé sur le consentement de la personne concernée ou sur tout autre fondement légitime prévu par la législation, soit dans le présent règlement soit dans un autre acte législatif de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement. Dans le cas d'un enfant ou d'une personne n'ayant pas la capacité juridique, le droit pertinent de l'Union ou d'un État membre devrait déterminer les conditions dans lesquelles le consentement est donné ou autorisé par cette personne. [Am. 10]

(32)  Lorsque le traitement est fondé sur le consentement de la personne concernée, c'est au responsable du traitement que devrait incomber la charge de prouver que ladite personne a bien consenti au traitement. En particulier, dans le contexte d’une déclaration écrite relative à une autre question, des garanties devraient faire en sorte que la personne concernée donne son consentement en toute connaissance de cause. Afin de respecter le principe de la réduction au minimum des données, la charge de la preuve ne devrait pas être entendue comme exigeant l'identification formelle des personnes concernées, sauf en cas de nécessité. À l'image des termes de droit civil (voir par exemple la directive 93/13/CEE du Conseil(9)), les politiques en matière de protection des données devraient être aussi claires et transparentes que possible. Elles ne devraient pas comporter de clauses cachées ou désavantageuses. Le consentement ne peut être donné pour le traitement de données à caractère personnel concernant des tiers. [Am. 11]

(33)  Pour garantir que le consentement soit libre, il y aurait lieu de préciser qu'il ne constitue pas un fondement juridique valable si la personne ne dispose pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de refuser ou de se rétracter sans subir de préjudice. Tel est particulièrement le cas lorsque le responsable du traitement est une autorité publique qui peut, en vertu de ses prérogatives de puissance publique, imposer une obligation et que le consentement ne peut être réputé librement consenti. L'utilisation d'options par défaut que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées, n'est pas l'expression d'un libre consentement. Le consentement au traitement de données à caractère personnel complémentaires qui ne sont pas nécessaires pour la fourniture d'un service ne devrait pas être requis pour l'utilisation de ce service. Le retrait du consentement peut permettre la cessation ou l'inexécution du service qui dépend des données. Lorsque la réalisation de la finalité prévue ne peut pas être clairement déterminée, le responsable du traitement devrait, à intervalles réguliers, fournir à la personne concernée des informations sur le traitement et lui demander de réaffirmer son consentement. [Am. 12]

(34)  Le consentement ne devrait pas constituer un fondement juridique valable pour le traitement de données à caractère personnel lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, surtout lorsque la première se trouve dans une situation de dépendance par rapport au second, notamment lorsque les données à caractère personnel concernent le salarié et sont traitées par son employeur dans le cadre de leur relation de travail. Lorsque le responsable du traitement est une autorité publique, il n’y a déséquilibre que dans le cas d’opérations de traitement spécifiques dans le cadre desquelles l’autorité publique peut, en vertu de ses prérogatives de puissance publique, imposer une obligation. Dans ce cas, le consentement ne saurait être réputé librement consenti, compte tenu de l’intérêt de la personne concernée. [Am. 13]

(35)  Le traitement devrait être licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de la conclusion envisagée d'un contrat.

(36)  Lorsque le traitement est réalisé conformément à une obligation légale à laquelle est soumis le responsable du traitement, ou lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir son fondement juridique dans le droit de l’Union ou dans le droit d’un État membre respectant les conditions imposées par la charte pour toute limitation des droits et des libertés. Cela devrait également inclure les conventions collectives qui pourraient être reconnues en droit national comme étant d'applicabilité générale. Il appartient également au droit de l'Union ou au droit national de déterminer si le responsable du traitement investi d'une mission d'intérêt général ou relevant de l'exercice de l'autorité publique doit être une administration publique ou une autre personne physique ou morale de droit public, ou de droit privé telle qu'une association professionnelle. [Am. 14]

(37)  Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée.

(38)  Les intérêts légitimes du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, peuvent constituer un fondement juridique au traitement, à moins à condition qu'ils répondent aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement et que ne priment pas les intérêts ou les libertés et droits fondamentaux de la personne concernée. Ce point mérite un examen attentif, surtout lorsque la personne concernée est un enfant, cette catégorie de personnes nécessitant en effet une protection spécifique. La À moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement se limitant aux données pseudonymes est présumé répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement. La personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement. Les intérêts et droits fondamentaux de la personne concernée pourraient en particulier l'emporter sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne peuvent raisonnablement s'attendre à un traitement ultérieur. Étant donné qu'il appartient au législateur de fournir la base juridique autorisant les autorités publiques à traiter des données, ce motif ne devrait pas valoir pour les traitements effectués par ces autorités dans l'accomplissement de leur mission. [Am. 15]

(39)  Le traitement des données relatives au trafic, dans la mesure strictement nécessaire et proportionnée à la finalité de garantir la sécurité du réseau et des informations, c’est-à-dire la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l’intégrité et la confidentialité de données stockées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par les pouvoirs publics, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), des fournisseurs de réseaux ou de services de communications électroniques, par des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable des données. Il pourrait s'agir, par exemple, d’empêcher l’accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques. Ce principe s'applique également au traitement de données à caractère personnel en vue de restreindre l'accès et le recours abusifs à des réseaux ou à des systèmes d'information accessibles au public, comme l'inscription sur une liste noire d’identifiants électroniques. [Am. 16]

(39 bis)  À moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, la prévention ou la limitation des préjudices pour le responsable du traitement devrait être présumée répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe s'applique à l'exercice des droits en justice contre une personne concernée, notamment en cas de recouvrement de dettes ou de dommages et intérêts et de mesures de réparation au civil. [Am. 17]

(39 ter)  À moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, le traitement de données à caractère personnel à des fins de commercialisation directe pour ses propres produits et services ou des produits et services similaires ou à des fins de commercialisation directe par courrier devrait être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données sont divulguées, et répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement, à condition que des informations très visibles aient été communiquées en ce qui concerne le droit d'opposition et la source des données à caractère personnel. Le traitement de coordonnées commerciales devrait de manière générale être présumé répondre à l'intérêt légitime du responsable du traitement ou, en cas de divulgation, du tiers à qui les données ont été divulguées, et répondre aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement. Le même principe devrait s'appliquer au traitement de données à caractère personnel manifestement rendues publiques par la personne concernée. [Am. 18]

(40)  Le traitement des données à caractère personnel à d’autres fins ne devrait être autorisé que s'il est compatible avec les finalités de la collecte initiale des données, notamment lorsque le traitement est nécessaire à des fins statistiques ou de recherche historique ou scientifique. Lorsque cette autre finalité n'est pas compatible avec la finalité initiale de la collecte des données, il convient que le responsable du traitement obtienne le consentement de la personne concernée à cette autre finalité ou qu'il fonde le traitement sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la législation de l'État membre dont relève le responsable des données le prévoit. En tout état de cause, l'application des principes énoncés par le présent règlement et, en particulier, de respecter l'obligation d'informer la personne concernée au sujet de ces autres finalités devrait être assurée. [Am. 19]

(41)  Les données à caractère personnel qui sont, par nature, particulièrement sensibles et vulnérables du point de vue des droits fondamentaux et de la vie privée méritent une protection spécifique. Ces données ne devraient pas faire l'objet d'un traitement, à moins que la personne concernée n'y consente expressément. Toutefois, des dérogations à cette interdiction devraient être expressément prévues pour tenir compte de besoins spécifiques, en particulier lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l'exercice des libertés fondamentales. [Am. 20]

(42)  Les exceptions à l'interdiction du traitement des catégories de données sensibles devraient également être autorisées si elles résultent d'une loi et, sous réserve de garanties appropriées, afin de protéger les données à caractère personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt général le justifient et, en particulier, à des fins de santé publique, en ce compris la protection de la santé, la protection sociale et la gestion des services de santé, notamment pour assurer la qualité et l'efficience des procédures de règlement des demandes de prestations et de services dans le régime d’assurance‑maladie, ou à des fins de recherche historique, statistique etscientifique, ou pour des services d'archives. [Am. 21]

(43)  En outre, le traitement de données à caractère personnel par des autorités publiques en vue de réaliser les objectifs, prévus par le droit constitutionnel ou le droit international public, d'associations à caractère religieux officiellement reconnues est effectué pour des raisons d'intérêt général.

(44)  Si, dans le cadre d'activités liées à des élections, le fonctionnement du système démocratique suppose, dans un État membre, que les partis politiques collectent des données relatives aux opinions politiques des personnes, le traitement de telles données peut être autorisé pour des motifs d'intérêt général, à condition que des garanties appropriées soient prévues.

(45)  Si les données qu’il traite ne lui permettent pas d'identifier une personne physique, le responsable du traitement ne devrait pas être tenu d'obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Dans le cas d’une demande d’accès, il devrait être autorisé à demander d'autres informations à la personne concernée, afin d'être en mesure de localiser les données personnelles que cette personne recherche. Si la personne concernée est en mesure de fournir ces données, les responsables du traitement ne devraient pas pouvoir invoquer un manque d'information pour rejeter une demande d'accès. [Am. 22]

(46)  Le principe de transparence veut que toute information adressée au public ou à la personne concernée soit aisément accessible et facile à comprendre, et formulée en termes simples et clairs. Ceci vaut tout particulièrement lorsque, dans des domaines tels que la publicité en ligne, la multiplication des acteurs et la complexité des technologies utilisées empêchent la personne concernée de savoir exactement si des données à caractère personnel la concernant sont collectées, par qui et dans quel but. Les enfants nécessitant une protection spécifique, toute information et communication, lorsque le traitement des données les vise spécifiquement, devrait être rédigée en des termes simples et clairs que l’enfant peut aisément comprendre.

(47)  Des modalités devraient être prévues pour faciliter l'exercice, par la personne concernée, des droits qui lui sont conférés par le présent règlement, notamment les moyens de demander d'obtenir, sans frais, l'accès aux données, leur rectification ou leur effacement, et d'exercer son droit d'opposition. Le responsable du traitement devrait être tenu de répondre à la personne concernée dans un délai donné raisonnable et de motiver tout refus. [Am. 23]

(48)  Le principe de traitement loyal et transparent exige que la personne concernée soit informée, en particulier, de l'existence du traitement et de ses finalités, de la durée pendant laquelle les données seront probablement conservées pour chaque finalité, de la transmission éventuelle des données à des tiers ou à des pays tiers, de l’existence de mesures permettant l'opposition et d’un droit d’accès, de rectification ou d’effacement, ainsi que du droit d'introduire une réclamation. Lorsque les données sont collectées auprès de la personne concernée, il importe que celle‑ci sache également si elle est obligée de fournir ces informations et à quelles conséquences elle s'expose si elle ne les fournit pas. Ces informations devraient être communiquées à la personne concernée, ce qui peut également signifier qu'elle doit pouvoir y accéder facilement, après que des informations simplifiées lui aient été fournies sous la forme d'icônes normalisées. Cela devrait également signifier que les données à caractère personnel sont traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits. [Am. 24]

(49)  L'information sur le traitement des données à caractère personnel devrait être donnée à la personne concernée au moment où ces données sont recueillies ou, si la collecte des données n'a pas lieu auprès de la personne concernée, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre destinataire, il convient que la personne concernée soit informée lorsque ces données sont divulguées pour la première fois audit destinataire.

(50)  Toutefois, il n'est pas nécessaire d'imposer cette obligation si la personne concernée dispose connaît déjà de cette information, ou si l'enregistrement ou la divulgation des données sont expressément prévus par la loi, ou si l'information de la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. Tel pourrait être le cas, en particulier, des traitements à des fins statistiques ou de recherche historique ou scientifique; à cet égard, peuvent être pris en considération le nombre de personnes concernées, l'ancienneté des données, ainsi que les mesures compensatrices éventuelles adoptées. [Am. 25]

(51)  Toute personne devrait avoir le droit d'accéder aux données qui ont été recueillies à son sujet et d'exercer ce droit facilement, afin de s'informer du traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données, la durée estimée de leur conservation, l'identité des destinataires, la logique générale qui sous‑tend le traitement des données et les conséquences qu'il pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et libertés d’autrui, notamment au secret des affaires, ni à la propriété intellectuelle, notamment au concernant par exemple le droit d'auteur protégeant le logiciel. Toutefois, ces considérations ne sauraient aboutir au refus de toute information de la personne concernée. [Am. 26]

(52)  Le responsable du traitement devrait prendre toutes les mesures raisonnables afin de s’assurer de l’identité d’une personne concernée demandant l'accès aux données, en particulier dans le contexte des services et identifiants en ligne. Un responsable des données ne devrait pas conserver des données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles demandes.

(53)  Toute personne devrait avoir le droit de faire rectifier des données à caractère personnel la concernant, et disposer d'un «droit à l’oubli numérique l'effacement» lorsque la conservation de ces données n'est pas conforme au présent règlement. En particulier, les personnes concernées devraient avoir le droit d'obtenir que leurs données soient effacées et ne soient plus traitées, lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été recueillies ou traitées, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant ou encore, lorsque le traitement de leurs données à caractère personnel n'est pas conforme au présent règlement. Ce droit est particulièrement important lorsque la personne concernée a donné son consentement à l'époque où elle était enfant et donc mal informée des risques inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l'internet. Toutefois, la conservation des données devrait être autorisée lorsqu'elle est nécessaire à des fins de recherche historique, statistique et scientifique, pour des motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice du droit à la liberté d'expression, si elle est requise par la loi ou s'il existe une raison de limiter le traitement des données au lieu de les effacer. De la même manière, le droit à l'effacement ne devrait pas s'appliquer lorsque la conservation de données à caractère personnel est nécessaire pour l'exécution d'un contrat avec la personne concernée, ou lorsqu'il existe une obligation légale de conserver ces données. [Am. 27]

(54)  Afin de renforcer le «droit à l'oubli numérique l'effacement» dans l’environnement en ligne, le droit à l'effacement des données devrait en outre être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques sans motif légal soit tenu d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données, ou toute copie ou reproduction de celles‑ci. Afin d'assurer cette information, le responsable des données devrait de prendre toutes les mesures raisonnables nécessaires pour procéder à l'effacement de ces données, y compris les mesures techniques, à l'égard des données dont la publication lui est imputable. En ce qui concerne la responsabilité par des tiers, sans préjudice du droit de la publication de données à caractère personnel par un tiers, elle devrait être imputée au responsable du traitement lorsqu'il a lui-même autorisé le tiers à l'effectuer. personne concernée à demander réparation. [Am. 28]

(54 bis)  Les données contestées par la personne concernée, dont on ne peut déterminer l'exactitude ou l'inexactitude, devraient être verrouillées jusqu'à ce que la question soit résolue. [Am. 29]

(55)  Pour leur permettre de mieux maîtriser encore l'utilisation qui est faite des données les concernant et renforcer leur droit d’accès, les personnes concernées devraient avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, d'obtenir une copie des données les concernant, également dans un format électronique structuré et couramment utilisé. La personne concernée devrait en outre être autorisée à transférer ces données, qu'elle a fournies, d'une application automatisée, telle qu'un réseau social, à une autre. Il y a lieu d’encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données au système de traitement automatisé, en donnant son consentement ou dans le cadre de l’exécution d’un contrat. Les fournisseurs de services de la société de l'information ne devraient pas conditionner la fourniture de leurs services au transfert de ces données. [Am. 30]

(56)  Dans les cas où des données à caractère personnel pourraient faire l'objet d'un traitement licite afin de protéger les intérêts vitaux de la personne concernée, ou pour un motif d'intérêt général, à l'exercice de l'autorité publique ou à la poursuite des intérêts légitimes du responsable du traitement, toute personne concernée devrait néanmoins avoir le droit de s’opposer au traitement de toute donnée la concernant sans frais et d'une manière simple et effective. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes priment les intérêts ou les libertés et droits fondamentaux de la personne concernée. [Am. 31]

(57)  Lorsque des données à caractère personnel sont traitées à des fins de marketing direct, la personne concernée devrait avoir a le droit de s’opposer à ce au traitement, sans frais et le responsable du traitement devrait le proposer explicitement à la personne concernée d’une manière simple et effective et sous une forme intelligible, en des termes clairs et simples, et devrait clairement distinguer ce droit des autres informations. [Am. 32]

(58)  Sans préjudice de la licéité du traitement des données, toute personne physique devrait avoir le droit de ne pas être soumise à une mesure fondée sur s'opposer au profilage. Le profilage par traitement automatisé. Toutefois, de telles mesures devraient conduisant à des mesures produisant des effets juridiques pour la personne concernée ou affectant de manière significative ses intérêts, droits ou libertés ne devrait être permises permis que lorsqu'elles sont il est expressément autorisées autorisé par la loi, appliquées appliqué dans le cadre de la conclusion ou de l'exécution d'un contrat, ou si la personne concernée y a donné son consentement. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, y compris une information spécifique de la personne concernée et le droit d'obtenir une intervention appréciation humaine, et cette mesure ne devrait pas concerner les enfants. Ces mesures ne devraient pas entraîner de discrimination à l'encontre de personnes sur la base de leur origine raciale ou ethnique, de leurs opinions politiques, de leur religion ou croyances, de leur appartenance syndicale, de leur orientation sexuelle ou de leur identité de genre. [Am. 33]

(58 bis)   Le profilage fondé uniquement sur le traitement de données pseudonymes devrait être présumé ne pas affecter de manière significative les intérêts, droits ou libertés de la personne concernée. Lorsque le profilage, qu'il repose sur une source unique de donnée pseudonymes ou sur l'agrégation de données pseudonymes issues de différentes sources, permet au responsable du traitement d'attribuer des données pseudonymes à une personne concernée déterminée, les données traitées ne devraient plus être considérées comme pseudonymes. [Am. 34]

(59)  Des limitations des principes spécifiques et du droit à l'information, du droit d'accès, de rectification et d'effacement, ou du droit à la portabilité d’accès à des données ou du droit d’obtenir des données, du droit d'opposition, des mesures fondées sur le du profilage, ainsi que de la communication d'une violation des données à caractère personnel à une personne concernée, et des limitations de certaines obligations connexes des responsables du traitement des données peuvent être imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire et proportionnée dans une société démocratique, pour garantir la sécurité publique, notamment aux fins de la protection de la vie humaine en cas, plus particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la prévention d’infractions pénales, des enquêtes et des poursuites en la matière, ou de manquements à la déontologie des professions réglementées, aux fins d'autres intérêts publics spécifiques et clairement définis, y compris d'un intérêt économique ou financier important de l'Union ou d'un État membre, ou aux fins de la protection de la personne concernée ou des droits ou libertés de tiers. Ces limitations doivent être conformes aux exigences énoncées par la charte et par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. [Am. 35]

(60)  Il y a lieu d'instaurer une responsabilité globale du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui‑même ou qui est réalisé pour son compte, en particulier en ce qui concerne la documentation, la sécurité des données, les analyses d'impact, le délégué à la protection des données et le contrôle par les autorités de protection des données. Il importe en particulier que le responsable du traitement veille à la conformité de chaque traitement au présent règlement et soit tenu en mesure d'en apporter la preuve. Cela devrait être vérifié par des auditeurs indépendants internes ou externes. [Am. 36]

(61)  La protection des droits et libertés des personnes concernées à l'égard du traitement des données à caractère personnel nécessite de prendre les mesures techniques et organisationnelles appropriées, tant au moment de la conception que de l'exécution du traitement, de sorte que les exigences du présent règlement soient respectées. Afin d'assurer et de démontrer la conformité de ses activités au présent règlement, le responsable du traitement devrait adopter des règles internes et appliquer des mesures adaptées, qui répondent en particulier aux principes de la protection des données dès la conception et de la protection des données par défaut. Le principe de la protection des données dès la conception requiert que cette protection soit intégrée dans la totalité du cycle de vie d'une technologie, dès la toute première étape de conception jusqu'à son déploiement final, son utilisation et son élimination. Cela devrait également inclure la responsabilité pour les produits et services utilisés par le responsable du traitement ou le sous-traitant. Le principe de la protection des données par défaut requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction des données au minimum et la limitation de la finalité. [Am. 37]

(62)  La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et de leurs sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par elles, exige une répartition claire des responsabilités au titre du présent règlement, notamment dans le cas où le responsable du traitement détermine les finalités, les conditions et les moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement est effectué pour le compte d'un responsable du traitement. L'accord entre les responsables conjoints du traitement devrait refléter leurs rôles effectifs et leurs relations. Dans le cadre du traitement de données à caractère personnel au titre du présent règlement, un responsable du traitement devrait également être autorisé à communiquer les données à un responsable conjoint ou à un sous-traitant afin qu'ils traitent les données en son nom. [Am. 38]

(63)  Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union traite des données à caractère personnel concernant des personnes résidant dans l'Union, et que les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, ou à l'observation de leur comportement, il convient que le responsable du traitement désigne un représentant, à moins que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de protection adéquat, ou que le traitement vise moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et ne concerne pas des catégories particulières de données à caractère personnel, ou que le responsable du traitement ne soit une petite ou moyenne entreprise ou une autorité ou un organisme public, ou qu'il ne propose qu'occasionnellement des biens ou des services à ces personnes concernées. Le représentant devrait agir pour le compte du responsable du traitement et devrait pouvoir être contacté par toute autorité de contrôle. [Am. 39]

(64)  Afin de déterminer si un responsable du traitement n'offre qu'occasionnellement des biens et des services à des personnes concernées résidant dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble de ses activités que l'offre de biens et de services à ces personnes concernées est accessoire à ces activités principales. [Am. 40]

(65)  Afin d’ de pouvoir apporter la preuve qu'il se conforme au présent règlement, le responsable du traitement ou le sous‑traitant devrait consigner chaque opération de traitement tenir à jour la documentation nécessaire au respect des exigences établies dans le présent règlement. Chaque responsable du traitement et sous‑traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces informations à sa disposition sur demande pour qu'elles servent au contrôle des opérations en question à l'évaluation du respect du présent règlement. Néanmoins, il y a lieu d'accorder la même attention et la même importance aux bonnes pratiques et à la conformité, et pas seulement à la constitution de la documentation. [Am. 41]

(66)  Afin de préserver la sécurité et de prévenir tout traitement contraire au présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et prenne des mesures pour les atténuer. Ces mesures devraient assurer un niveau de sécurité approprié compte tenu, d'une part, des techniques les plus récentes et de leur coût de mise en œuvre, et, d'autre part, des risques présentés par les traitements et de la nature des données à protéger. Lors de l’adoption de normes techniques et de mesures organisationnelles destinées à garantir la sécurité du traitement, la Commission devrait il convient de promouvoir la neutralité technologique, l’interopérabilité et l’innovation, et au besoin, coopérer d'encourager la coopération avec les pays tiers. [Am. 42]

(67)  Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer une grave perte économique et des dommages sociaux importants, y compris une usurpation d’identité, à la personne physique concernée. En conséquence, dès que le responsable du traitement apprend qu’une telle violation s’est produite, il conviendrait qu'il en informe devrait notifier la violation à l’autorité de contrôle sans retard injustifié et, lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être respecté ce qui devrait supposer un délai qui ne soit pas inférieur à 72 heures. Le cas échéant, la notification devrait être assortie d'une explication des raisons de ce retard. Les personnes physiques dont les données à caractère personnel pourraient être affectées par la violation devraient en être informées sans retard injustifié afin qu’elles puissent prendre les précautions qui s’imposent. Il y a lieu de considérer qu'une violation affecte les données à caractère personnel ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par exemple, un vol ou une usurpation d'identité, un dommage physique, une humiliation grave ou une atteinte à la réputation. La notification devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne concernée afin d'atténuer les éventuels effets négatifs. Il convient que les notifications aux personnes concernées soient effectuées aussi rapidement que possible, en coopération étroite avec l'autorité de contrôle, et dans le respect des orientations fournies par celle-ci ou par d'autres autorités compétentes (telles que les autorités répressives). Par exemple, pour que les personnes concernées puissent atténuer un risque immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement possible, mais la nécessité de mettre en œuvre des mesures appropriées empêchant la poursuite de la violation des données ou la survenance de violations similaires pourrait justifier un délai plus long. [Am. 43]

(68)  Afin de déterminer si une violation des données à caractère personnel est notifiée sans retard injustifié à l'autorité de contrôle et à la personne concernée, il y a lieu de vérifier si le responsable du traitement a mis en place et appliqué une protection technologique et des mesures d'organisation appropriées pour établir immédiatement si une violation des données est intervenue et pour informer dans les meilleurs délais l'autorité de contrôle et la personne concernée, avant qu'une atteinte ne soit portée aux intérêts personnels et économiques de la personne, compte tenu notamment de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets néfastes pour la personne concernée.

(69)  Lors de la fixation des règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de la violation, notamment du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées limitant efficacement le risque d’usurpation d’identité ou d’autres formes d’abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives dans les cas où une divulgation prématurée risquerait d’entraver inutilement l’enquête sur les circonstances de la violation.

(70)  La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or cette obligation génère une charge administrative et financière, sans pour autant avoir véritablement amélioré la protection des données à caractère personnel. En conséquence, l'obligation générale de notification devrait être supprimée et remplacée par des procédures et des mécanismes efficaces ciblant plutôt les traitements susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées, du fait de leur nature, de leur portée ou de leur finalité. Dans de tels cas, une analyse d'impact relative à la protection des données devrait être réalisée par le responsable du traitement ou le sous‑traitant, préalablement au traitement, et devrait examiner notamment les dispositions, garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et pour démontrer que le présent règlement est respecté.

(71)  Ceci devrait s'appliquer en particulier aux systèmes d'archivage à grande échelle récemment créés, qui servent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational et pourraient affecter un nombre important de personnes concernées.

(71 bis)  Les analyses d'impact sont l'essence même de tout cadre viable de protection des données. Elles garantissent que les entreprises sont conscientes dès le départ de toutes les conséquences possibles de leurs opérations de traitement de données. Des analyses d'impact approfondies permettent de limiter de manière fondamentale le risque de violation des données ou de traitements portant atteinte à la vie privée. Les analyses d'impact relatives à la protection des données devraient, dès lors, porter sur la gestion des données à caractère personnel tout au long de leur cycle de vie, depuis la collecte jusqu'au traitement et à la suppression des données, en décrivant, en détail, les traitements envisagés, les risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour réduire ces risques, ainsi que les clauses de sauvegarde, les mesures de sécurité et les mécanismes destinés à garantir le respect du présent règlement. [Am. 44]

(71 ter)  Les responsables du traitement devraient s'attacher à la protection des données à caractère personnel pendant la totalité du cycle de vie des données, depuis leur collecte jusqu'à leur suppression, en passant par le traitement, en investissant dès le départ dans un cadre viable de gestion des données et en effectuant un suivi au moyen d'un mécanisme complet de contrôle de conformité. [Am. 45]

(72)  Il existe des cas dans lesquels il pourrait être judicieux et économique d'élargir l'analyse d'impact relative à la protection des données au-delà d'un projet unique, par exemple lorsque des autorités ou organismes publics entendent mettre en place une application ou une plateforme de traitement commune, ou lorsque plusieurs responsables du traitement envisagent de créer une application ou un environnement de traitement communs à tout un secteur ou segment professionnel, ou pour une activité transversale largement utilisée.

(73)  Une autorité ou un organisme publics ne devraient réaliser une analyse d'impact relative à la protection des données que si celle-ci n'a pas été faite au moment de l'adoption de la loi nationale régissant la mission de l'autorité ou de l'organisme publics concernés ainsi que l'opération ou l'ensemble d'opérations de traitement en question. [Am. 46]

(74)  Lorsqu'une analyse d’impact relative à la protection des données indique que des opérations de traitement exposent les droits et libertés des personnes concernées à un degré élevé de risques particuliers, comme priver ces personnes d'un droit, ou de par l'utilisation de certaines technologies nouvelles, le délégué à la protection des données ou l'autorité de contrôle devrait devraient pouvoir être consultée consultés, avant le début de l'opération, sur un traitement risqué susceptible de ne pas être conforme au présent règlement, et formuler des propositions visant à y remédier. Cette Une consultation de l'autorité de contrôle devrait également avoir lieu pendant l'élaboration d'une mesure législative du parlement national, ou d'une mesure fondée sur cette dernière définissant la nature du traitement et instaurant les garanties appropriées. [Am. 47]

(74 bis)  Les analyses d'impact ne peuvent être utiles que si les responsables du traitement s'assurent de respecter leurs engagements initialement fixés dans ces analyses. Les responsables du traitement devraient, dès lors, procéder, de manière périodique, à de conformité concernant la protection des données, attestant que les mécanismes de traitement des données en place sont conformes aux engagements pris dans l'analyse d'impact relative à la protection des données. Cet examen devrait également démontrer que le responsable du traitement est en mesure de respecter les choix autonomes des personnes concernées. Par ailleurs, si l'examen laisse apparaître des irrégularités, celles-ci doivent être soulignées, et il y a lieu de présenter des recommandations sur la manière d'assurer la pleine conformité. [Am. 48]

(75)  Lorsque le traitement est réalisé dans le secteur public ou lorsque, dans le secteur privé, il concerne plus de 5000 personnes sur une période de 12 mois, ou lorsqu'il est effectué par une grande entreprise ou par une entreprise, quelle que soit sa taille, dont les activités de base impliquent des opérations de traitement sur des données sensibles, ou des opérations de traitement exigeant un suivi régulier et systématique, une personne devrait aider le responsable du traitement ou le sous‑traitant à vérifier le respect, au niveau interne, du présent règlement. Au moment de décider si des données concernant un grand nombre de personnes seront traitées, les données archivées qui sont limitées de manière à ce qu'elles ne soient pas soumises aux opérations usuelles d'accès aux données et de traitement des données exécutées par le responsable du traitement et à ce qu'elles ne puissent plus être modifiées, ne devraient pas être prises en compte. Ces délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement et qu'ils exécutent ou non cette tâche à plein temps, devraient être en mesure d'exercer leurs fonctions et leurs tâches en toute indépendance et bénéficier d'une protection spéciale contre le licenciement. La responsabilité ultime devrait continuer d'incomber à la direction de l'organisme. Le délégué à la protection des données devrait, en particulier, être consulté préalablement à la conception, à la fourniture, au développement et à la mise en place de tout système de traitement automatisé des données à caractère personnel, afin de garantir le respect des principes de protection de la vie privée dès la conception et par défaut. [Am. 49]

(75 bis)  Le délégué à la protection des données devrait posséder au moins les qualifications suivantes: une connaissance étendue du contenu et de l'application de la législation en matière de protection des données, y compris les mesures et procédures techniques et organisationnelles; la maîtrise des exigences techniques concernant la protection de la vie privée dès la conception, la protection de la vie privée par défaut et la sécurité des données; une connaissance spécifique du secteur d'activité, conformément à la taille du responsable du traitement ou du sous-traitant et au caractère sensible des données à traiter; la capacité de mener à bien des inspections, des consultations, à établir une documentation et à effectuer des analyses de fichiers; et la capacité à travailler avec des représentants des employés. Le responsable du traitement devrait permettre au délégué à la protection des données de participer à des programmes de formation avancée afin de tenir à jour les connaissances spécialisées requises dans le cadre de l'exécution de ses tâches. La désignation à la fonction de délégué à la protection des données ne nécessite pas obligatoirement un emploi à temps plein de la part de l’employé concerné. [Am. 50]

(76)  Il y a lieu d'encourager les associations et autres instances représentatives des responsables de traitement de données à élaborer, après consultation des représentants des travailleurs, des codes de conduite, dans le respect du présent règlement, de manière à faciliter sa bonne application, en tenant compte des spécificités des traitements effectués dans certains secteurs. De tels codes devraient simplifier le respect du présent règlement par les entreprises. [Am. 51]

(77)  Afin de favoriser la transparence et le respect du présent règlement, la création de mécanismes de certification, ainsi que de marques et de labels et de marques normalisées en matière de protection des données, devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement, de manière fiable et vérifiable, le niveau de protection des données offert par les produits et services en question. Un "label européen de protection des données" devrait être établi au niveau européen afin de générer un climat de confiance parmi les personnes concernées et une sécurité juridique pour les responsables du traitement et, dans le même temps, exporter les normes européennes de protection des données en permettant aux entreprises non européennes d'entrer plus facilement sur les marchés européens en obtenant cette certification. [Am. 52]

(78)  La circulation transfrontière des données à caractère personnel est nécessaire au développement de la coopération internationale et du commerce mondial. L’augmentation de ces flux a créé de nouveaux enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère personnel. Or il importe que, lorsque ces données sont transférées de l’Union vers des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri. En tout état de cause, les transferts vers des pays tiers ne peuvent avoir lieu que dans le plein respect du présent règlement.

(79)  Le présent règlement ne remet pas en cause les accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées, qui garantissent un niveau de protection adéquat des droits fondamentaux des citoyens. [Am. 53]

(80)  La Commission peut décider, avec effet dans l'ensemble de l'Union, que certains pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale offrent un niveau de protection adéquat, ce qui assurera une sécurité juridique et une uniformité dans toute l'Union en ce qui concerne les pays tiers ou les organisations internationales qui sont réputés assurer un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ces pays peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers et lui avoir fourni une justification complète, de révoquer une telle décision. [Am. 54]

(81)  Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation du pays tiers, prendre en considération la manière dont ce pays respecte l'état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme.

(82)  La Commission peut également constater qu’un pays tiers, un territoire ou un secteur de traitement de données dans un pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données. Toute législation prévoyant un accès extraterritorial aux données à caractère personnel traitées dans l'Union sans autorisation conformément au droit de l'Union ou d'un État membre devrait être réputée ne pas offrir un niveau adéquat de protection. Si tel est le cas, le transfert de données à caractère personnel vers ce pays tiers devrait être interdit. Il y aurait alors lieu de prendre des dispositions en vue d'une consultation entre la Commission et le pays tiers ou l'organisation internationale concernés. [Am. 55]

(83)  En l’absence d’une décision relative au caractère adéquat du niveau de protection, le responsable du traitement ou le sous‑traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou d'autres mesures adaptées et proportionnées qui se justifient au regard des circonstances qui entourent une opération ou une série d'opérations de transfert de données, et dans les cas autorisés par une autorité de contrôle. Ces garanties appropriées devraient garantir le respect adéquat des droits des personnes concernées dans le cadre du traitement à l'intérieur de l'Union, notamment en ce qui concerne la limitation de la finalité, le droit à l'accès, la rectification, l'effacement et la réparation. Ces garanties devraient en particulier assurer le respect des principes du traitement des données à caractère personnel, préserver les droits des personnes concernées et prévoir des mécanismes de recours effectifs, assurer le respect des principes de la protection des données dès la conception ainsi que par défaut et garantir l'existence d'une fonction de délégué à la protection des données. [Am. 56]

(84)  La possibilité qu'ont les responsables du traitement et les sous‑traitants de recourir aux clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles‑ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les clauses types de protection des données adoptées par la Commission pourraient couvrir différentes situations, à savoir les transferts effectués par des responsables du traitement établis dans l'Union vers des responsables du traitement établis en dehors de l'Union et par des responsables du traitement établis dans l'Union vers des sous-traitants, y compris des sous-traitants ultérieurs, établis en dehors de l'Union. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties encore plus solides par l'intermédiaire d'engagements contractuels supplémentaires qui viendraient compléter les clauses types de protection. [Am. 57]

(85)  Un groupe d’entreprises devrait être autorisé à recourir à des règles d'entreprise contraignantes pour ses transferts internationaux de l’Union vers des entités du même groupe, à condition que ces règles d'entreprise incluent l'ensemble des principes essentiels et des droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel. [Am. 85]

(86)  Le présent règlement devrait autoriser les transferts dans certains cas où la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des motifs importants d'intérêt général établis par le droit de l'Union ou d'un État membre l'exigent, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le transfert ne devrait toutefois pas porter sur la totalité des données ni sur des catégories entières de données contenues dans le registre et, lorsque ce dernier est destiné à être consulté par des personnes qui y ont un intérêt légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent ou si elles en sont les destinataires, en tenant pleinement compte des intérêts et des droits fondamentaux de la personne concernée. [Am. 59]

(87)  Ces dérogations devraient s'appliquer en particulier aux transferts de données qui sont nécessaires à la protection pour des motifs importants d'intérêt général, par exemple en cas de transfert international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, ou en cas de transfert aux autorités publiques compétentes chargées de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière, y compris la prévention du blanchiment d'argent et la lutte contre le financement du terrorisme. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou d'une autre personne, si la personne concernée se trouve dans l'incapacité de donner son consentement. Le transfert de données à caractère personnel pour des motifs d'intérêt public aussi importants ne devrait être utilisé que de manière occasionnelle. Dans chaque cas, il convient de mener une évaluation minutieuse de toutes les circonstances du transfert. [Am. 60]

(88)  Les transferts qui ne peuvent être qualifiés de fréquents ou massifs pourraient également être autorisés aux fins de la poursuite des intérêts légitimes du responsable du traitement ou du sous-traitant, après que ces derniers ont évalué toutes les circonstances entourant le transfert. Pour les traitements à des fins de recherche historique, statistique et scientifique, il y aurait lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. [Am. 61]

(89)  En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat de la protection des données dans un pays tiers, le responsable du traitement ou le sous‑traitant devrait adopter des solutions qui garantissent de manière juridiquement contraignante aux personnes concernées qu'elles continueront de bénéficier des droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour le traitement des données les concernant, une fois que ces données auront été transférées, dans la mesure où le traitement n'est pas massif, répétitif et structurel. Cette garantie devrait comprendre une indemnisation en cas de perte de données, d'accès aux données ou de traitement de données non autorisés, ainsi que l'obligation, indépendamment du droit national, de fournir tous les détails de tout accès aux données par les autorités publiques d'un pays tiers. [Am. 62]

(90)  Certains pays tiers édictent des lois, des règlements et d'autres instruments législatifs qui visent à régir directement des activités de traitement des données effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres. L’application extraterritoriale de ces lois, règlements et autres instruments législatifs peut être contraire au droit international et faire obstacle à la protection des personnes garantie dans l’Union par le présent règlement. Les transferts ne devraient donc être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt général reconnu par le droit de l'Union ou par le droit d'un État membre auquel le responsable des données est soumis. Les critères d'existence d'un motif important d'intérêt général devraient être précisés par la Commission dans un acte délégué. Lorsque les responsables du traitement ou les sous-traitants sont confrontés à des exigences de conformité contradictoires entre la juridiction de l'Union, d'une part, et celle d'un pays tiers, d'autre part, la Commission devrait toujours veiller à faire prévaloir la législation de l'Union. La Commission devrait fournir des orientations et une aide au responsable du traitement et au sous-traitant, et s'efforcer de résoudre le conflit de compétence avec le pays tiers en question. [Am. 63]

(91)  Lorsque des données à caractère personnel franchissent les frontières, elles accroissent le risque que les personnes physiques ne puissent exercer leur droit à la protection des données, notamment pour se protéger de l’utilisation ou la divulgation illicite de ces informations. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontière peuvent également être freinés par les pouvoirs de prévention ou de réparation insuffisants dont elles disposent, par l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, afin qu'elles puissent échanger des informations et mener des enquêtes avec leurs homologues internationaux.

(92)  L'institution d'autorités de contrôle dans les États membres, exerçant leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel. Les États membres ont la possibilité d'instituer plusieurs autorités de contrôle, pour s'aligner sur leur structure constitutionnelle, organisationnelle et administrative. Les autorités disposent des ressources financières et humaines adéquates afin de remplir pleinement leur mission, en tenant compte de la taille de la population et de la quantité de données à caractère personnel traitées. [Am. 64]

(93)  Lorsqu'un État membre crée plusieurs autorités de contrôle, il devrait prévoir, dans sa législation, des dispositifs garantissant la participation effective de ces autorités au mécanisme de contrôle de la cohérence. Il devrait en particulier désigner l'autorité de contrôle qui servira de point de contact unique, permettant une participation efficace de ces autorités au mécanisme, afin d'assurer une coopération rapide et facile avec les autres autorités de contrôle, le comité européen de la protection des données et la Commission.

(94)  Il convient que chaque autorité de contrôle soit dotée des moyens financiers et humains adéquats, en veillant tout particulièrement à ce que le personnel possède les qualifications techniques et juridiques adéquates, des locaux et des infrastructures nécessaires à la bonne exécution de leurs tâches, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. [Am. 65]

(95)  Les conditions générales applicables aux membres de l’autorité de contrôle devraient être fixées par la loi dans chaque État membre, prévoir notamment que ces membres sont nommés par le parlement ou par le gouvernement national, en prenant bien soin de réduire au minimum toute possibilité d'ingérence politique, et comprendre des dispositions régissant la qualification et la fonction de ces membres, ainsi que la prévention des conflits d'intérêts. [Am. 66]

(96)  Il appartiendrait aux autorités de contrôle de surveiller l'application des dispositions du présent règlement et de contribuer à ce que cette application soit uniforme dans l'ensemble de l'Union, pour protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel et faciliter la libre circulation de ces données au sein du marché intérieur. À cet effet, il conviendrait que les autorités de contrôle coopèrent entre elles et avec la Commission.

(97)  Lorsque, dans l'Union, le traitement de données à caractère personnel intervenant dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous‑traitant a lieu dans plusieurs États membres, il conviendrait qu’une seule autorité de contrôle soit compétente pour surveiller les activités agisse en tant que guichet unique et autorité chef de file responsable du contrôle du responsable du traitement ou du sous‑traitant dans toute l'Union et pour prendre prenne les décisions y afférentes, afin de favoriser une application cohérente, de garantir la sécurité juridique et de réduire les charges administratives pour le responsable du traitement et ses sous‑traitants. [Am. 67]

(98)  L'autorité compétente chef de file, faisant ainsi office de guichet unique, devrait être l'autorité de contrôle de l'État membre dans lequel le responsable du traitement ou le sous‑traitant a son principal établissement ou son représentant. Le comité européen de la protection des données peut, dans certains cas, désigner l'autorité chef de file par le biais du mécanisme de contrôle de la cohérence, à la demande d'une autorité compétente. [Am. 68]

(98 bis)  Les personnes concernées dont les données à caractère personnel sont traitées par un responsable du traitement ou un sous-traitant dans un autre État membre devraient pouvoir introduire une réclamation auprès de l'autorité de contrôle de leur choix. L'autorité chef de file chargée de la protection des données devrait coordonner ses travaux avec ceux des autres autorités impliquées. [Am. 69]

(99)  Bien que le présent règlement s'applique également aux activités des juridictions nationales, la compétence des autorités de contrôle ne devrait pas s'étendre aux traitements de données à caractère personnel effectués par les juridictions lorsqu'elles agissent dans le cadre de leur fonction juridictionnelle, afin de préserver l'indépendance des juges dans le cadre de l’exercice de leur fonction juridictionnelle. Il convient toutefois que cette exception soit strictement limitée aux activités purement judiciaires intervenant dans le cadre d'affaires portées devant les tribunaux et qu'elle ne s'applique pas aux autres activités auxquelles les juges pourraient être associés en vertu du droit national.

(100)  Afin d'assurer la cohérence du contrôle et de l'application du présent règlement dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont des pouvoirs d'enquête, d'intervention juridiquement contraignante, de décision et de sanction, en particulier en cas de réclamation introduite par des personnes physiques, ainsi que le pouvoir d'ester en justice. Les pouvoirs d'investigation des autorités de contrôle en matière d'accès aux locaux devraient être exercés conformément au droit de l'Union et au droit national applicable. Cela concerne en particulier l'obligation d'obtenir préalablement une autorisation judiciaire.

(101)  Chaque autorité de contrôle devrait recevoir les réclamations introduites par les personnes concernées ou par des associations agissant dans l'intérêt général et mener les enquêtes en la matière. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par l'affaire. L'autorité de contrôle devrait informer la personne concernée ou l'association de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée. [Am. 70]

(102)  Les activités de sensibilisation organisées par les autorités de contrôle à l'intention du public devraient comprendre des mesures spécifiques destinées aux responsables du traitement et aux sous-traitants, y compris les micro, petites et moyennes entreprises, et aux personnes concernées.

(103)  Les autorités de contrôle devraient se prêter mutuellement assistance dans l’exercice de leurs fonctions afin d'assurer une application cohérente du présent règlement dans le marché intérieur.

(104)  Chaque autorité de contrôle devrait avoir le droit de participer à des opérations conjointes entre autorités de contrôle. L'autorité de contrôle requise devrait être tenue de répondre à la demande dans un délai déterminé.

(105)  Afin de garantir l’application cohérente du présent règlement dans toute l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle a l'intention de prendre une mesure à l'égard d'opérations de traitement qui sont liées à l'offre de biens ou de services à des personnes concernées se trouvant dans plusieurs États membres, ou au suivi de ces personnes, ou qui pourraient affecter considérablement la libre circulation des données à caractère personnel. Il devrait également s'appliquer lorsqu'une autorité de contrôle ou la Commission demande qu'une question soit traitée dans le cadre du mécanisme de contrôle de la cohérence. En outre, les personnes concernées devraient avoir le droit d'exiger de la cohérence si elles estiment qu'une mesure mise en œuvre par l'autorité chargée de la protection des données d'un État membre ne répond pas à ce critère. Le mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui confèrent les traités. [Am. 71]

(106)  En application du mécanisme de contrôle de la cohérence, le comité européen de la protection des données devrait émettre un avis, dans un délai déterminé, si une majorité simple de ses membres le décide ou s'il est saisi d'une demande en ce sens par une autorité de contrôle ou par la Commission.

(106 bis)  Afin de garantir l'application cohérente du présent règlement, le comité européen de la protection des données peut, dans des cas spécifiques, adopter une décision contraignante pour les autorités de contrôle compétentes. [Am. 72]

(107)  Afin de garantir le respect du présent règlement, la Commission peut adopter un avis sur cette question, ou une décision ordonnant à l'autorité de contrôle de suspendre son projet de mesure. [Am. 73]

(108)  Il peut être nécessaire d'agir de toute urgence pour protéger les intérêts des personnes concernées, en particulier lorsque l'exercice du droit d'une personne concernée risque d'être considérablement entravé. En conséquence, lorsqu'elle applique le mécanisme de contrôle de la cohérence, l'autorité de contrôle devrait pouvoir adopter des mesures provisoires d'une durée déterminée.

(109)  L'application de ce mécanisme devrait conditionner la validité juridique et l'exécution de la décision par une autorité de contrôle. Dans d'autres cas présentant une dimension transfrontière, les autorités de contrôle concernées pourraient se prêter mutuellement assistance et mener des enquêtes conjointes sur une base bilatérale ou multilatérale, sans actionner le mécanisme de contrôle de la cohérence.

(110)  Un comité européen de la protection des données devrait être créé au niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE. Il devrait se composer d'un directeur d'une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données. La Commission devrait participer à ses activités. Le comité européen de la protection des données devrait contribuer à l'application cohérente du présent règlement dans toute l'Union, notamment en conseillant la Commission les institutions de l'Union et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union, y compris la coordination des opérations conjointes. Il devrait exercer ses fonctions en toute indépendance. Le comité européen de la protection des données devrait renforcer le dialogue avec les parties intéressées telles que les associations de personnes concernées, les organisations de consommateurs, les responsables du traitement et les autres parties et experts concernés. [Am. 74]

(111)  Toute personne concernée devraitLes personnes concernées devraient avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle dans tout État membre et disposer d'un droit de recours effectif devant un tribunal conformément à l’article 47 de la charte si elle estime elles estiment que les droits que lui leur confère le présent règlement ne sont pas respectés, si l’autorité de contrôle ne réagit pas à une réclamation ou si elle n’agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée des personnes concernées. [Am. 75]

(112)  Tout organisme, organisation ou association qui œuvre à la protection des droits et intérêts des personnes concernées dans le domaine de la protection des données l'intérêt général et qui est constitué(e) conformément au droit d’un État membre devrait avoir le droit d'introduire une réclamation auprès d'une autorité de contrôle au nom des personnes concernés avec leur consentement, ou d'exercer le droit de recours devant un tribunal au nom de s'il ou elle est mandaté(e) par les personnes concernées, ou d'introduire une réclamation en son propre nom, indépendamment de celle d'une personne concernée, dans les cas où l'organisme, l'organisation ou l'association considère qu'une violation de données à caractère personnel du présent règlement a été commise. [Am. 76]

(113)  Toute personne physique ou morale devrait disposer d'un droit de recours devant un tribunal contre les décisions d'une autorité de contrôle qui la concernent. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.

(114)  Afin de renforcer la protection judiciaire de la personne concernée dans les cas où l'autorité de contrôle compétente est établie dans un autre État membre que celui dans lequel la personne concernée réside, cette dernière peut demander donner mandat à tout organisme, organisation ou association œuvrant à la protection des droits et intérêts des personnes concernées en vue de protéger leurs données à caractère personnel, d' dans l'intérêt général pour intenter, pour son compte, un recours contre l'autorité de contrôle en question devant la juridiction compétente de l'autre État membre. [Am. 77]

(115)  Dans le cas où l'autorité de contrôle compétente établie dans un autre État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une réclamation, la personne concernée peut demander à l'autorité de contrôle de l'État membre dans lequel elle réside habituellement d'intenter une action contre l'autorité de contrôle défaillante, devant la juridiction compétente de l'autre État membre. Cela ne s'applique pas aux personnes ne résidant pas dans l'Union . L'autorité de contrôle requise peut décider, sous contrôle juridictionnel, s'il y a lieu ou non de faire droit à la demande. [Am. 78]

(116)  En ce qui concerne les recours à l'encontre d'un responsable du traitement ou d'un sous‑traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous‑traitant a un établissement ou, lorsque la personne concernée réside dans l'Union, dans l'État membre dans lequel la personne concernée elle réside, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l’exercice de la puissance publique. [Am. 79]

(117)  S'il existe des raisons de penser que des procédures parallèles sont pendantes devant les juridictions de différents États membres, ces juridictions devraient être tenues de prendre contact les unes avec les autres. Les juridictions devraient avoir la possibilité de surseoir à statuer lorsqu'une affaire parallèle est pendante dans un autre État membre. Les États membres devraient veiller à ce que les actions en justice, pour être efficaces, permettent l'adoption rapide de mesures visant à réparer ou à prévenir une violation du présent règlement.

(118)  Tout dommage, de nature financière ou non, qu'une personne pourrait subir du fait d'un traitement illicite devrait être réparé par le responsable du traitement ou le sous‑traitant, qui ne peut s'exonérer de sa responsabilité que s'il prouve que le dommage ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la personne concernée, ou en cas de force majeure. [Am. 80]

(119)  Toute personne de droit privé ou de droit public qui ne respecte pas le présent règlement devrait faire l'objet de sanctions pénales. Les États membres devraient veiller à ce que les sanctions soient effectives, proportionnées et dissuasives, et prendre toutes mesures nécessaires à leur application. Les règles relatives aux sanctions devraient être assorties de garanties procédurales adéquates en conformité avec les principes généraux du droit de l'Union et la charte, y compris le droit à un recours effectif devant un tribunal, le droit à un procès équitable et le principe non bis in idem. [Am. 81]

(119 bis)  Lorsqu'ils appliquent des sanctions, les États membres devraient s'attacher à respecter pleinement les garanties procédurales adéquates, y compris le droit à un recours effectif devant un tribunal, le droit à un procès équitable et le principe non bis in idem. [Am. 82]

(120)  Afin de renforcer et d'harmoniser les sanctions administratives applicables en cas de violation du présent règlement, chaque autorité de contrôle devrait avoir le pouvoir de sanctionner les infractions administratives. Le présent règlement devrait définir ces infractions ainsi que le montant maximal des amendes administratives dont elles sont passibles. Le montant de l'amende devrait être fixé, dans chaque cas, en fonction de la situation spécifique, compte dûment tenu, notamment, de la nature, de la gravité et de la durée de l'infraction. Il pourrait en outre être recouru au mécanisme de contrôle de la cohérence pour résoudre les divergences d'application des sanctions administratives.

(121)  Si nécessaire, des exemptions ou des dérogations aux exigences de certaines dispositions du présent règlement pour le traitement de données à caractère personnel à des fins uniquement journalistiques ou aux fins d'expression artistique ou littéraire devrait pouvoir bénéficier d'une dérogation à certaines dispositions du présent règlement, devraient être prévues pour concilier le droit à la protection de ces données avec le droit à la liberté d'expression, et notamment le droit de recevoir et de communiquer des informations, garanti en particulier par l’article 11 de la charte. Ceci devrait notamment s’appliquer aux traitements de données à caractère personnel dans le domaine de l’audiovisuel et dans les documents d'archives et bibliothèques de journaux. En conséquence, les États membres devraient adopter des mesures législatives qui prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre avec ces droits fondamentaux. Les États membres devraient adopter de telles exemptions et dérogations en ce qui concerne les principes généraux, les droits de la personne concernée, le responsable du traitement et le sous-traitant, le transfert des donnés données vers des pays tiers ou à des organisations internationales, les autorités de contrôle indépendantes, et la coopération et la cohérence, et dans des cas spécifiques de traitement de données. Néanmoins, ceci ne devrait pas conduire les États membres à prévoir des dérogations aux autres dispositions du présent règlement. Pour tenir compte de l'importance du droit à la liberté d'expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins des exemptions et dérogations à établir en vertu du présent règlement, les États membres devraient qualifier de «journalistiques» les activités ayant pour objet de afin de couvrir l'ensemble des activités tendant à communiquer au public des informations, des opinions ou des idées, quel que soit le vecteur utilisé pour les transmettre, en tenant également compte de l'évolution des technologies. Il convient de ne pas limiter cette catégorie aux seules activités des entreprises de médias et d'y inclure tant celles qui poursuivent un but lucratif que celles qui n'en poursuivent pas. [Am. 83]

(122)  Le traitement des données à caractère personnel concernant la santé, qui constituent une catégorie spéciale de données exigeant une protection plus élevée, peut souvent être justifié par divers motifs légitimes, dans l'intérêt des personnes et de la société dans son ensemble, notamment lorsqu'il s'agit d'assurer la continuité des soins de santé d'un pays à un autre. Le présent règlement devrait donc prévoir des conditions harmonisées pour le traitement des données à caractère personnel dans le domaine de la santé, en les assortissant de garanties spécifiques et appropriées pour protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Ceci inclut leur droit d'accéder aux données ayant trait à leur santé, par exemple les données des dossiers médicaux faisant état de diagnostics, de résultats d'examens, d'avis de médecins traitants ou de tout traitement ou intervention effectués.

(122 bis)   Un professionnel qui traite des données à caractère personnel relatives à la santé devrait recueillir, dans la mesure du possible, des données anonymes ou pseudonymes, de sorte que l'identité de la personne concernée ne soit connue que du médecin généraliste ou spécialiste qui a demandé le traitement des données. [Am. 84]

(123)  Le traitement de données à caractère personnel concernant la santé peut être nécessaire pour des raisons d'intérêt général dans les domaines de la santé publique, et sans le consentement de la personne concernée. Dans ce contexte, la notion de «santé publique» devrait s'interpréter selon la définition prévue dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil(10) du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail, et désigner l'ensemble des éléments liés à la santé, à savoir, l'état de santé, y compris la morbidité et le handicap, les éléments déterminant cet état de santé, les besoins en soins de santé, les ressources allouées aux soins de santé, l'offre de soins et l'accès universel à ces soins ainsi que les dépenses et le financement des soins de santé et les causes de mortalité. Ces traitements de données à caractère personnel concernant la santé autorisés pour des motifs d'intérêt général ne doivent pas aboutir à ce que ces données soient traitées à d'autres fins par des tiers, tels que les employeurs, les compagnies d'assurance et les banques. [Am. 85]

(123 bis)  Le traitement des données à caractère personnel concernant la santé, en tant que catégorie particulière de données, peut être nécessaire à des fins de recherche historique, statistique ou scientifique. Le présent règlement prévoit donc une dérogation à l'exigence de consentement dans les cas où la recherche sert un intérêt public élevé. [Am. 86]

(124)  Les principes généraux concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel devraient également être applicables dans le contexte des relations de travail et de la sécurité sociale. En conséquence, pour Les États membres devraient pouvoir réglementer le traitement des données à caractère personnel des travailleurs dans le contexte des relations de travail et le dans ce contexte, les États membres devraient pouvoir, dans les limites du présent règlement, adopter par voie législative des règles spécifiques au traitement des données à caractère personnel dans le secteur de l’emploi contexte de la sécurité sociale, conformément aux règles et normes minimales fixées dans le présent règlement. Dans la mesure où il existe, dans l'État membre concerné, une base juridique qui permette de réglementer les affaires relevant des relations de travail par une convention entre les représentants des travailleurs et la direction de l'entreprise ou de l'entreprise qui exerce le contrôle d'un groupe (convention collective) ou au titre de la directive 2009/38/CE du Parlement européen et du Conseil(11), le traitement des données à caractère personnel dans le contexte des relations de travail peut également être réglementé par une telle convention. [Am. 87]

(125)  Le traitement de données à caractère personnel à des fins de recherche statistique, historique ou scientifique devrait, pour être licite, également respecter d'autres législations pertinentes, telles que celle relative aux essais cliniques.

(125 bis)  Les données à caractère personnel peuvent également faire l'objet d'un traitement ultérieur par des services d'archives qui ont pour mission principale ou obligatoire de collecter, conserver, communiquer, exploiter et diffuser des archives dans l'intérêt général. La législation des États membres devrait concilier le droit à la protection des données à caractère personnel avec la règlementation régissant les archives et l'accès des citoyens à l'information administrative. Les États membres devraient encourager l'élaboration, en particulier par le Groupe européen d'archives, de règles visant à garantir la confidentialité des données vis-à-vis des tiers et l'authenticité, l'intégrité et la bonne conservation des données. [Am. 88]

(126)  Aux fins du présent règlement, la notion de «recherche scientifique» devrait comprendre la recherche fondamentale, la recherche appliquée et la recherche financée par le secteur privé, et devrait en outre tenir compte de l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du traité sur le fonctionnement de l'Union européenne, consistant à réaliser un espace européen de la recherche. Le traitement de données à caractère personnel à des fins de recherche historique, statistique et scientifique ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre. [Am. 89]

(127)  En ce qui concerne le pouvoir qu'ont les autorités de contrôle d'obtenir du responsable du traitement ou du sous‑traitant l’accès aux données à caractère personnel et l'accès à ses locaux, les États membres peuvent adopter par voie législative, dans les limites du présent règlement, des règles spécifiques visant à préserver le secret professionnel ou d'autres obligations équivalentes de confidentialité, dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et une obligation de secret professionnel.

(128)  Conformément à l'article 17 du traité sur le fonctionnement de l'Union européenne, le présent règlement respecte et ne préjuge pas du statut dont bénéficient, en vertu du droit national, les églises et les associations ou communautés religieuses dans les États membres. Il s'ensuit que si, dans un État membre, une église applique, à la date d'entrée en vigueur du présent règlement, un ensemble complet adéquat de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ces règles existantes devraient continuer de s'appliquer si elles sont mises en conformité avec les dispositions du présent règlement et reconnues conformes. Ces églises et les associations religieuses devraient être tenues d'instituer une autorité de contrôle totalement indépendante. [Am. 90]

(129)  Afin de réaliser les objectifs du présent règlement, à savoir la protection des droits et libertés fondamentaux des personnes physiques, et en particulier de leur droit à la protection des données à caractère personnel, et pour garantir la libre circulation de ces dernières au sein de l’Union, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l'Union européenne. En particulier, des actes délégués devraient être adoptés en ce qui concerne la licéité du traitement; la spécification des critères et conditions concernant le consentement des enfants; les traitements portant du mode de description fondé sur des catégories particulières de données; la spécification des critères et conditions applicables aux demandes manifestement excessives et des frais facturés à la personne concernée pour exercer ses droits; les critères et les exigences applicables à l'information de la personne concernée et au droit d'accès; icônes pour la fourniture d'informations; le droit à l'oubli numérique et à l'effacement; les mesures fondées sur le profilage; les critères et exigences en rapport avec les obligations incombant au responsable du traitement et avec la protection des données dès la conception ou par défaut; les sous-traitants; les critères et exigences spécifiques pour la documentation et la sécurité du traitement; les critères et exigences en vue d'établir une violation des données à caractère personnel et de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation des données à caractère personnel est susceptible de porter préjudice à la personne concernée; les critères et conditions déterminant la nécessité d'une analyse d'impact en ce qui concerne des opérations de traitement; les critères et exigences pour établir l'existence d'un degré élevé de risques spécifiques justifiant une consultation préalable; la désignation et les missions du délégué à la protection des données; les la déclaration de la conformité des codes de conduite avec le présent règlement; les critères et exigences applicables aux mécanismes de certification; le niveau adéquat de protection offert par un pays tiers ou par une organisation internationale; les critères et exigences applicables aux transferts encadrés par des règles d'entreprise contraignantes; les dérogations relatives aux transferts; les sanctions administratives; les traitements le traitement de données à des fins médicales; les traitements de santé et le traitement de données dans le contexte professionnel et les traitements à des fins historiques, statistiques et de recherche scientifique cadre des relations de travail. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts. Durant la phase de préparation et de rédaction, en particulier avec le comité européen de la protection des données. Il convient que, lorsqu'elle prépare et élabore des actes délégués, la Commission devrait transmettre simultanément, en temps utile et en bonne et due forme, veille à ce que les documents pertinents soient transmis, simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil. [Am. 91]

(130)  Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission pour définir des formulaires types relatifs au à des méthodes particulières d'obtention du consentement vérifiable en lien avec le traitement des données à caractère personnel d’un enfants; des procédures et formulaires types pour communiquer aux personnes concernées des informations sur l'exercice des de leurs droits de la personne concernée; des formulaires types pour l'information de la personne concernée; les des formulaires types et les procédures pour concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; et le droit à la portabilité des données; des formulaires types concernant les obligations du la documentation devant être conservée par le responsable du traitement en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures et le sous-traitant; le formulaire type pour notifier les violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation conserver une trace documentaire des violations de données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation et d'information préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l’Union; de l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme des autorités de contrôle de la cohérence. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission(12). Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises. [Am. 92]

(131)  La procédure d'examen devrait être appliquée pour l'établissement desadoption de formulaires types en vue de l' relatifs aux méthodes particulières d'obtention du consentement d'un enfant vérifiable en lien avec le traitement des données à caractère personnel d’un enfant; des procédures et formulaires types pour communiquer aux personnes concernées des informations sur l'exercice de leurs droits de la personne concernée; des formulaires types; pour l'information de la personne concernée; des formulaires types et des procédures pour concernant le droit d'accès, y compris pour la communication des données à caractère personnel à la personne concernée; et le droit à la portabilité des données; des formulaires types concernant les obligations du la documentation devant être conservée par le responsable du traitement et le sous-traitant; en matière de protection des données dès la conception, de protection des données par défaut, et de documentation; des exigences spécifiques relatives à la sécurité du traitement des données; de la forme normalisée et des procédures pour la notification pour notifier les violations de données à caractère personnel à l'autorité de contrôle, et pour la communication d'une violation des conserver une trace documentaire des violations de données à caractère personnel à la personne concernée; des critères et procédures pour l'analyse d'impact relative à la protection de données; des formulaires et des procédures d'autorisation et de consultation pour la consultation et l'information préalables; des normes techniques et des mécanismes de certification; du niveau de protection adéquat offert par un pays tiers, par un territoire ou un secteur de traitement de données dans ce pays tiers, ou par une organisation internationale; des divulgations non autorisées par le droit de l’Union; de l'assistance mutuelle; des opérations conjointes; et pour l'adoption des décisions relevant du mécanisme de l'autorité de contrôle de la cohérence, puisque ces actes sont de portée générale. [Am. 93]

(132)  La Commission devrait adopter des actes d’exécution immédiatement applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, ou un territoire ou secteur de traitement de données dans ce pays tiers, ou une organisation internationale, qui n'assure pas un niveau de protection adéquat, ou concernant des questions communiquées par les autorités de contrôle dans le cadre du mécanisme de contrôle de la cohérence, des raisons d’urgence impérieuses l’exigent. [Am. 94]

(133)  Étant donné que les objectifs du présent règlement, à savoir assurer un niveau équivalent de protection des personnes physiques et la libre circulation des données dans l'ensemble de l'Union, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison des dimensions ou des effets de l'action, l’être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(134)  La directive 95/46/CE devrait être abrogée par le présent règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et les autorisations qui ont été accordées par les autorités de contrôle, sur le fondement de ladite directive devraient demeurer en vigueur. Les décisions de la Commission et les autorisations accordées par les autorités de contrôle relatives aux transferts de données à caractère personnel vers des pays tiers en vertu de l'article 41, paragraphe 8, devraient demeurer en vigueur pour une période transitoire de cinq ans après l'entrée en vigueur du présent règlement à moins qu'elles ne soit modifiées, remplacées ou abrogées par la Commission avant la fin de cette période. [Am. 95]

(135)  Le présent règlement devrait s'appliquer à tous les aspects de la protection des droits et libertés fondamentaux à l'égard du traitement des données à caractère personnel, qui ne relèvent pas d'obligations spécifiques, ayant le même objectif, énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil(13), y compris les obligations incombant au responsable du traitement et les droits des personnes physiques. Afin de clarifier la relation entre le présent règlement et la directive 2002/58/CE, cette dernière devrait être modifiée en conséquence.

(136)  En ce qui concerne l'Islande et la Norvège, le présent règlement constitue un développement des dispositions de l'acquis de Schengen, dans la mesure où il s'applique au traitement des données à caractère personnel par les autorités participant à la mise en œuvre de cet acquis, au sens de l'accord conclu par le Conseil de l'Union européenne, la République d'Islande et le Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(14).

(137)  En ce qui concerne la Suisse, le présent règlement constitue un développement des dispositions de l'acquis de Schengen, dans la mesure où il s'applique au traitement des données à caractère personnel par les autorités participant à la mise en œuvre de cet acquis, au sens de l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(15).

(138)  En ce qui concerne le Liechtenstein, le présent règlement constitue un développement des dispositions de l'acquis de Schengen dans la mesure où il s'applique au traitement des données à caractère personnel par les autorités participant à la mise en œuvre de cet acquis, au sens du protocole entre l'Union européenne, la Communauté européenne, la Confédération suisse et la Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein à l'accord entre l'Union européenne, la Communauté européenne et la Confédération suisse sur l'association de la Confédération suisse à la mise en œuvre, à l'application et au développement de l'acquis de Schengen(16).

(139)  Étant donné que, comme la Cour de justice de l'Union européenne l'a souligné, le droit à la protection des données à caractère personnel n’apparaît pas comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité, le présent règlement respecte tous les droits fondamentaux et observe les principes reconnus par la charte, consacrés par les traités, et notamment le droit au respect de la vie privée et familiale, du domicile et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté de pensée, de conscience et de religion, le droit à la liberté d'expression et d'information, le droit à la liberté d'entreprise, le droit à un recours effectif et à un procès équitable, ainsi que le respect de la diversité culturelle, religieuse et linguistique,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet et objectifs

1.  Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

2.  Le présent règlement protège les libertés et droits fondamentaux des personnes physiques et en particulier leur droit à la protection des données à caractère personnel.

3.  La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Article 2

Champ d'application matériel

1.  Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, quel que soit le moyen de traitement, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.  Le présent règlement ne s’applique pas au traitement de données à caractère personnel:

a)  dans le cadre d'une activité n'entrant pas dans le champ d'application du droit de l'Union, en ce qui concerne notamment la sécurité nationale;

b)  par les institutions, organes et organismes de l'Union;

c)  par les États membres dans l'exercice d'activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l'Union européenne;

d)  par une personne physique sans but lucratif dans le cadre d’activités exclusivement personnelles ou domestiques;. Cette dérogation s'applique également à une publication de données à caractère personnel lorsqu'il peut raisonnablement être escompté que seul un nombre limité de personnes y aura accès;

e)  par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.

3.  Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et en particulier des dispositions des articles 12 à 15 de ladite directive établissant les règles en matière de responsabilité des prestataires intermédiaires. [Am. 96]

Article 3

Champ d'application territorial

1.  Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2.  Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire dans l'Union, par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a)  à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées; ou

b)  au suivi de leur comportement ces personnes concernées.

3.  Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où le droit national d’un État membre s’applique en vertu du droit international public. [Am. 97]

Article 4

Définitions

Aux fins du présent règlement, on entend par:

(1)  «personne concernée»: une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne physique ou morale, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

(2)  «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d'identification, des données de localisation, un identifiant unique ou un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle, sociale ou de genre de cette personne;

2 bis)  "données pseudonymes", des données à caractère personnel qui ne peuvent pas être attribuées à une personne concernée déterminée sans avoir recours à des informations supplémentaires, pour autant que de telles informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir cette non-attribution;

2 ter)  "données cryptées", des données à caractère personnel qui sont rendues inintelligibles par des mesures de protection technologique pour toute personne qui n'est pas autorisée à y avoir accès;

3)  «traitement de données à caractère personnel», toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et appliquée(s) à des données à caractère personnel ou à des ensembles de données personnelles, telle(s) que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la destruction;

3 bis)   "profilage", toute forme de traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement;

4)  «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

5)  «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel; lorsque les finalités, les conditions et les moyens du traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par le droit d'un État membre;

6)  «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

7)  «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel;

7 bis)  "tiers", toute personne physique ou morale, autorité publique, service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données;

8)  «consentement de la personne concernée», toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

9)  «violation de données à caractère personnel», une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées, de manière accidentelle ou illicite, de données à caractère personnel transmises, conservées ou traitées d’une autre manière;

10)  «données génétiques», toutes les données, de quelque nature que ce soit, concernant les à caractère personnel liées aux caractéristiques génétiques d'une personne physique qui sont héréditaires ou ont été acquises à un stade précoce de son développement prénatal, résultant d'une analyse d'un échantillon biologique de la personne en question, notamment par une analyse des chromosomes, de l'acide désoxyribonucléique (ADN) ou de l'acide ribonucléique (ARN), ou d'une analyse de tout autre élément permettant d'obtenir des informations équivalentes;

11)  «données biométriques», toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques;

12)  «données concernant la santé», toute information relative toute donnée à caractère personnel relative à la santé physique ou mentale d'une personne, ou à la prestation de services de santé à cette personne;

13)  «établissement principal», en ce qui concerne le responsable du traitement, le lieu d’établissement de l'entreprise ou du groupe d'entreprises dans l'Union, qu'il s'agisse du responsable du traitement ou du sous-traitant, où sont prises les principales décisions quant aux finalités, aux conditions et aux moyens du traitement de données à caractère personnel.; si aucune décision de ce type n’est prise dans l’Union, l’établissement principalIl peut être notamment tenu compte des critères objectifs suivants: la localisation du siège du responsable du traitement ou du sous-traitant; la localisation de l'entité au sein du groupe d'entreprises qui est la mieux placée en termes de fonctions de direction et de responsabilités administratives pour traiter et faire appliquer les règles énoncées dans le présent règlement; le lieu où sont exercées les principales activités de traitement des données dans le cadre des activités d’un établissement d’un responsable du traitement dans l’Union; en ce qui concerne le sous-traitant, on entend par «établissement principal» le lieu de son administration centrale dans l'Union la localisation du lieu d’exercice effectif et réel des activités de gestion déterminant le traitement des données au moyen d'une installation stable;

14)  «représentant», toute personne physique ou morale établie dans l'Union expressément désignée par le responsable du traitement, qui agit en lieu et place de représente ce dernier et peut être contactée à sa place par les autorités de contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du responsable du traitement en vertu du présent règlement;

15)  «entreprise», toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris, notamment, les personnes physiques et morales, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

16)  «groupe d'entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

17)  «règles d'entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous­traitant établi sur le territoire d’un État membre de l’Union, aux transferts ou à un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous­traitant dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises;

18)  «enfant», toute personne âgée de moins de dix-huit ans;

19)  «autorité de contrôle», une autorité publique qui est instituée par un État membre conformément aux dispositions de l'article 46. [Am. 98]

CHAPITRE II

PRINCIPES

Article 5

Principes relatifs au traitement des données à caractère personnel

Les données à caractère personnel doivent être sont:

a)  traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b)  collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas être traitées ultérieurement de manière incompatible avec ces finalités (limitation de la finalité);

c)  adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel (limitation des données au minimum);

d)  exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai (exactitude);

e)  conservées sous une forme permettant l'identification directe ou indirecte des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles ne seront traitées qu’à des fins de recherche historique, statistique ou scientifique ou pour être archivées conformément aux règles et aux conditions énoncées aux articles 83 et 83 bis et s’il est procédé à un examen périodique visant à évaluer la nécessité de poursuivre la conservation et, le cas échéant, si des mesures techniques et organisationnelles sont mises en place afin de limiter l'accès aux données à ces seules fins (minimisation de la durée de conservation);

e bis)  traitées d'une manière qui permette à la personne concernée d'exercer effectivement ses droits (effectivité);

e ter)  traités de façon à les protéger contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité);

f)  traitées sous la responsabilité du responsable du traitement, qui veille au respect de chaque opération de traitement des dispositions du présent règlement et est en mesure d'en apporter apporte la preuve . [Am. 99]

Article 6

Licéité du traitement

1.  Le traitement de données à caractère personnel n'est licite que si et dans la mesure où l’une au moins des situations suivantes s'applique:

a)  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b)  le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

c)  le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;

d)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;

e)  le traitement est nécessaire à l'exécution d'une mission effectuée dans l'intérêt général ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;

f)  le traitement est nécessaire aux fins des intérêts légitimes poursuivis par un le responsable du traitement, ou, en cas de divulgation, par le tiers à qui les données sont divulguées, et qui répondent aux attentes raisonnables de la personne concernée fondées sur sa relation avec le responsable du traitement, à moins que ne priment les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ces considérations ne s'appliquent pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2.  Le traitement de données à caractère personnel qui est nécessaire à des fins de recherche historique, statistique ou scientifique est licite sous réserve des conditions et des garanties visées à l'article 83.

3.  Le fondement juridique du traitement visé au paragraphe 1, points c) et e), doit être prévu dans:

a)  le droit de l'Union, ou

b)  le droit de l'État membre auquel le responsable du traitement est soumis.

Le droit de l'État membre doit répondre à un objectif d’intérêt général ou être nécessaire à la protection des droits et libertés d'autrui, respecter l’essence du droit à la protection des données à caractère personnel et être proportionné à l'objectif légitime poursuivi. Dans les limites du présent règlement, le droit de l'État membre peut fournir des détails relatifs à la licéité du traitement, en particulier concernant les responsables du traitement, la finalité du traitement et la limitation de cette finalité, le type de données et les personnes concernées, les opérations et procédures de traitement, les destinataires, ainsi que la durée de conservation.

4.  Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les conditions prévues au paragraphe 1, point f), pour divers secteurs et situations en matière de traitement de données, y compris en ce qui concerne le traitement des données à caractère personnel relatives à un enfant. [Am. 100]

Article 7

Conditions de consentement

1.  Lorsque le traitement est basé sur le consentement, la charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

2.  Si le consentement de la personne concernée est requis dans le contexte d'une déclaration écrite qui concerne également une autre affaire, l'exigence du consentement doit apparaître clairement sous une forme qui le distingue de cette autre affaire. Les dispositions relatives au consentement de la personne concernée qui enfreignent partiellement le présent règlement sont entièrement nulles.

3.  Nonobstant les autres bases juridiques pour le traitement, la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement préalablement donné. Il est aussi simple de retirer son consentement que de le donner. La personne concernée est informée par le responsable du traitement si le retrait du consentement peut entraîner la cessation de la fourniture des services ou de la relation avec le responsable du traitement.

4.  Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement. est limité par la finalité et devient caduc lorsque cette finalité n'existe plus ou dès que le traitement des données à caractère personnel n'est plus nécessaire pour la réalisation de la finalité pour laquelle elles ont été initialement collectées. L'exécution d'un contrat ou la fourniture d'un service n'est pas soumise à la condition préalable du consentement au traitement des données qui ne sont pas nécessaires à l'exécution du contrat ou à la fourniture du service, en vertu de l'article 6, paragraphe 1, point b). [Am. 101]

Article 8

Traitement de données à caractère personnel relatives aux enfants

1.  Aux fins du présent règlement, s'agissant de l'offre directe de biens ou de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde son tuteur légal. Le responsable du traitement s’efforce raisonnablement d'obtenir un de vérifier ce consentement vérifiable, compte tenu des moyens techniques disponibles, sans pour autant causer de traitement inutile de données à caractère personnel.

1 bis.  Les informations fournies aux enfants, aux parents et aux tuteurs légaux pour leur permettre d’exprimer leur consentement, y compris en ce qui concerne la collecte et l'utilisation des données à caractère personnel par le responsable du traitement, devraient être communiquées dans des termes clairs adaptés au public visé.

2.  Le paragraphe 1 n'affecte pas le droit général des États membres en matière contractuelle, telle que les dispositions régissant la validité, la formation ou les effets d'un contrat à l’égard d’un enfant.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigencesLe comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques applicables aux méthodes d'obtention de vérification du consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises. paragraphe 1, conformément à l'article 66.

4.  La Commission peut établir des formulaires types pour les méthodes particulières d'obtention du consentement vérifiable prévu au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 102]

Article 9

Traitements portant sur desCatégories particulières de données à caractère personnel

1.  Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances philosophiques, l'orientation sexuelle ou l'identité de genre, l'appartenance syndicale et les activités syndicales, ainsi que le traitement des données génétiques ou biométriques ou des données concernant la santé ou relatives à la vie sexuelle, à des sanctions administratives, à des jugements, à des infractions pénales ou à des infractions présumées, à des condamnations pénales ou encore à des mesures de sûreté connexes sont interdits.

2.  Le paragraphe 1 ne s'applique pas lorsque si l'une des conditions suivantes est remplie:

a)  la personne concernée a donné son consentement au traitement de ces données à caractère personnel à une ou plusieurs fins spécifiques, dans les conditions fixées aux articles 7 et 8, sauf lorsque le droit de l’Union ou le droit d’un État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; ou

a bis)  le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

b)  le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l’Union ou par le droit d’un État membre ou par des conventions collectives prévoyant des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée, tels que le droit à la non-discrimination, sous réserve des conditions et des garanties visées à l'article 82; ou

c)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ; ou

d)  le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers en liaison avec ses objectifs et que les données ne soient pas divulguées à un tiers extérieur à cet organisme sans le consentement de la personne concernée; ou

e)  le traitement porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée; ou

f)  le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou

g)  le traitement est nécessaire à l'exécution d'une mission effectuée dans l' pour des raisons servant un intérêt public élevé, sur le fondement du droit de l’Union ou du droit d’un État membre, qui doit être proportionné à l'objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées à adéquates pour la sauvegarde des droits fondamentaux et des intérêts légitimes de la personne concernée; ou

h)  le traitement des données relatives à la santé est nécessaire à des fins liées à la santé, sous réserve des conditions et des garanties visées à l'article 81; ou

i)  le traitement est nécessaire à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et des garanties visées à l'article 83; ou

i bis)  le traitement est nécessaire pour des services d'archives, sous réserve des conditions et des garanties visées à l'article 83 bis; ou

j)  le traitement des données relatives aux sanctions administratives, aux jugements, aux infractions pénales, aux condamnations pénales, ou aux mesures de sûreté connexes est effectué soit sous le contrôle de l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une obligation légale ou réglementaire à laquelle le responsable du traitement est soumis, ou à l'exécution d'une mission effectuée pour des motifs importants d'intérêt général, et dans la mesure où ce traitement est autorisé par le droit de l’Union ou par le droit d'un État membre prévoyant des garanties adéquates. Un pour les droits fondamentaux et les intérêts de la personne concernée. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères, les conditions et les garanties appropriéesLe comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques pour le traitement des catégories particulières de données à caractère personnel visées au paragraphe 1, ainsi que les dérogations prévues au paragraphe 2, conformément à l'article 66. [Am. 103]

Article 10

Traitement ne permettant pas l'identification

1.  Si les données traitées par un responsable du traitement ne lui permettent pas, ou ne permettent pas au sous-traitant, d'identifier directement ou indirectement une personne physique, ou consistent uniquement en des données pseudonymes, le responsable du traitement n'est pas tenu d'obtenir ne traite ni n'obtient des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement.

2.  Lorsque le responsable du traitement n'est pas en mesure de se conformer à une disposition du présent règlement en raison du paragraphe 1, il n'est pas tenu de respecter cette disposition particulière du présent règlement. Lorsque, de ce fait, le responsable du traitement n'est pas en mesure de satisfaire à une demande de la personne concernée, il en informe cette dernière. [Am. 104]

Article 10 bis

Principes généraux en matière de droits des personnes concernées

1.  Le fondement de la protection des données consiste en la détermination de droits clairs et univoques pour les personnes concernées, devant être respectés par le responsable du traitement. Les dispositions du présent règlement visent à renforcer, clarifier, garantir et, le cas échéant, codifier ces droits.

2.  Ces droits incluent, notamment, la communication à la personne concernée d'informations claires et aisément compréhensibles quant au traitement de ses données à caractère personnel, le droit d'accéder à ses données, de les rectifier et de les effacer, le droit d'obtenir des données, le droit de s'opposer au profilage, le droit de déposer une réclamation auprès de l'autorité chargée de la protection des données compétente et le droit d'engager une action en justice, ainsi que le droit d'obtenir réparation et de percevoir des dommages et intérêts en cas d'opération de traitement illicite. Ces droits sont, en général, exercés sans frais. Le responsable du traitement répond aux demandes de la personne concernée dans un délai raisonnable. [Am. 105]

CHAPITRE III

DROITS DE LA PERSONNE CONCERNÉE

SECTION 1

TRANSPARENCE ET MODALITÉS

Article 11

Transparence des informations et des communications

1.  Le responsable du traitement applique des règles internes concises, transparentes, claires et facilement accessibles en ce qui concerne le traitement des données à caractère personnel et pour l’exercice des droits des personnes concernées.

2.  Le responsable du traitement fournit toute information et toute communication relatives au traitement des données à caractère personnel à la personne concernée, sous une forme intelligible et en des termes clairs et simples, adaptés à la personne concernée, en particulier lorsqu'une information est adressée spécifiquement à un enfant. [Am. 106]

Article 12

Procédures et mécanismes prévus pour l'exercice des droits de la personne concernée

1.  Le responsable du traitement établit les procédures d'information prévues à l’article 14 et les procédures d'exercice des droits des personnes concernées mentionnés aux articles 13, et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction de la demande portant sur les mesures prévues aux articles 13, et 15 à 19. Lorsque des données à caractère personnel font l'objet d'un traitement automatisé, le responsable du traitement fournit également les moyens d'effectuer des demandes par voie électronique lorsque cela est possible.

2.  Le responsable du traitement informe la personne concernée sans tarder retard injustifié et, au plus tard, dans un délai d'un mois de 40 jours civils à compter de la réception de la demande, indépendamment de l'éventuelle adoption d'une mesure prise en vertu des articles 13, et 15 à 19 et fournit les informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs personnes concernées exercent leurs droits et si leur coopération est, dans une mesure raisonnable, nécessaire pour empêcher un effort inutile et disproportionné de la part du responsable du traitement. Ces informations sont données par écrit et, lorsque cela est possible, le responsable du traitement des données peut donner l'accès à distance à un système sécurisé permettant à la personne concernée d'accéder directement à ses données à caractère personnel. Lorsque la personne concernée effectue la demande sous forme électronique, les informations sont fournies sous forme électronique lorsque cela est possible, à moins que la personne concernée ne demande qu'il en soit autrement.

3.  Si le responsable du traitement refuse de prendre des ne prend pas les mesures demandées par la personne concernée, il informe cette dernière des motifs du refus de son inaction, des possibilités d'introduire une réclamation auprès de l'autorité de contrôle et de former un recours juridictionnel.

4.  Les informations et les mesures prises dans le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les demandes sont manifestement excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations ou pour prendre les mesures demandées, peut s'abstenir de prendre les mesures demandées. Dans ce cas, il incombe au responsable du traitement de prouver le caractère manifestement excessif de la demande.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux demandes manifestement excessives, et les frais visés au paragraphe 4.

6.  La Commission peut établir des formulaires types et préciser des procédures types pour la communication visée au paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 107]

Article 13

Droits à l'égard des destinataires Obligation de notifier les rectifications et les effacements

Le responsable du traitement communique à chaque destinataire à qui les données ont été transmises transférées toute rectification ou tout effacement effectué conformément aux articles 16 et 17, à moins qu'une telle communication se révèle impossible ou suppose un effort disproportionné. Le responsable du traitement informe la personne concernée de ces destinataires si celle-ci en fait la demande. [Am. 108]

Article 13 bis

Politiques d'information normalisées

1.  Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement informe la personne concernée des éléments suivants avant de fournir les informations en vertu de l'article 14:

a)  si les données à caractère personnel sont collectées au-delà du minimum nécessaire pour chaque finalité spécifique du traitement;

b)  si les données à caractère personnel sont conservées au-delà du minimum nécessaire pour chaque finalité spécifique du traitement;

c)  si les données à caractère personnel sont traitées à des fins autres que celles de leur collecte;

d)  si les données à caractère personnel sont divulguées à des tiers commerciaux;

e)  si les données à caractère personnel sont vendues ou louées;

f)  si les données à caractère personnel sont conservées sous forme cryptée.

2.  Les éléments visés au paragraphe 1 sont présentés conformément à l'annexe du présent règlement sous la forme d'un tableau aligné, au moyen de texte et de pictogrammes, dans les trois colonnes suivantes:

a)  la première colonne représente les formes graphiques symbolisant ces éléments;

b)  la deuxième colonne contient des informations essentielles décrivant ces éléments;

c)  la troisième colonne représente les formes graphiques indiquant si la réponse à un élément spécifique est affirmative ou négative.

3.  Les informations visées aux paragraphes 1 et 2 sont présentées de manière facilement visible et clairement lisible et dans un langage aisément compris par les consommateurs des États membres auxquels les informations sont fournies. Lorsque les éléments sont présentés par voie électronique, ils sont lisibles par machine.

4.  Il n’est pas fourni d'éléments supplémentaires. Des explications détaillées ou des remarques supplémentaires concernant les éléments visés au paragraphe 1 peuvent être fournies en même temps que les autres informations requises en vertu de l'article 14.

5.  La Commission est habilitée, après avoir demandé l’avis du comité européen de la protection des données, à adopter des actes délégués en conformité avec l'article 86, aux fins de préciser davantage les éléments visés au paragraphe 1 ainsi que leur présentation telle qu'indiquée au paragraphe 2 et à l'annexe du présent règlement. [Am. 109]

SECTION 2

INFORMATION ET ACCÈS AUX DONNÉES

Article 14

Informations à fournir la personne concernée

1.  Lorsque des données à caractère personnel relatives à une personne concernée sont collectées, le responsable du traitement fournit à cette personne au à tout le moins les informations suivantes, après qu'elle ait été informée des éléments visés à l'article 13 bis:

a)  l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable et celles du délégué à la protection des données;

b)  les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que les informations relatives à la sécurité du traitement des données à caractère personnel, y compris les clauses et les conditions générales du contrat lorsque le traitement est fondé sur l’article 6, paragraphe 1, point b), et, le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement lorsque le traitement est fondé sur informations relatives à la façon dont sont mises en œuvre et satisfaites les exigences visées à l’article 6, paragraphe 1, point f);

c)  la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée;

d)  l’existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel relatives à la personne concernée, la rectification ou l'effacement de celles-ci, ou du droit de s'opposer au traitement de ces données, ou d'obtenir des données;

e)  le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

f)  les destinataires ou les catégories de destinataires des données à caractère personnel;

g)  le cas échéant, l’intention du responsable du traitement d'effectuer un transfert de données vers un pays tiers ou à une organisation internationale, et le niveau de protection offert par le pays tiers l'existence ou l'organisation internationale en question, par référence à absence d'une décision relative au caractère adéquat du niveau de protection rendue par la Commission ou, dans le cas des transferts visés à l'article 42 ou 43, la référence aux garanties appropriées et les moyens d'en obtenir une copie;

g bis)  le cas échéant, des informations relatives à l'existence d'un profilage, de mesures fondées sur le profilage et aux effets escomptés du profilage sur la personne concernée;

g ter)  des informations utiles relatives à la logique qui sous-tend tout traitement automatisé;

h)  toute autre information nécessaire pour assurer un traitement loyal des données à l'égard de la personne concernée, compte tenu des circonstances particulières dans lesquelles les données à caractère personnel sont collectées ou traitées, notamment l'existence de certaines activités et opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données a fait état d'un risque élevé;.

h bis)  le cas échéant, des informations indiquant si les données à caractère personnel ont été fournies aux autorités publiques au cours de la dernière période de 12 mois consécutifs.

2.  Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations sur le caractère obligatoire ou facultatif de la fourniture des données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données.

2 bis.   En se prononçant sur les informations supplémentaires qui sont nécessaires pour que traitement soit loyal conformément au paragraphe 1, point h), les responsables du traitement tiennent compte de toute orientation pertinente formulée au titre de l'article 34.

3.  Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, le responsable du traitement fournit à cette dernière, outre les informations mentionnées au paragraphe 1, des informations relatives à l'origine des données à caractère personnel spécifiques. Si les données à caractère personnel émanent de sources accessibles au public, une indication générale peut être donnée.

4.  Le responsable du traitement fournit les informations visées aux paragraphes 1, 2 et 3:

a)  au moment où les données à caractère personnel sont recueillies auprès de la personne concernée, ou, si cela n'est pas faisable, sans retard injustifié; ou

a bis)  sur demande d'un organe, d'une organisation ou d'une association visé à l'article 73;

b)  lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, au moment de l’enregistrement ou dans un délai raisonnable après la collecte, eu égard aux circonstances particulières dans lesquelles les données sont collectées ou autrement traitées, ou si la communication à un transfert vers un autre destinataire est envisagée envisagé, et au plus tard au moment où du premier transfert ou, si les données sont communiquées pour la doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première fois. communication avec cette personne; ou

b bis)  uniquement sur demande lorsque les données sont traitées par une petite ou micro-entreprise qui ne traite de données à caractère personnel qu'à titre accessoire.

5.  Les dispositions des paragraphes 1 et 4 ne s'appliquent pas lorsque:

a)  la personne concernée dispose déjà des informations visées aux paragraphes 1, 2 et 3; ou

b)  les données sont traitées à des fins de recherche historique, statistique ou scientifique, sous réserve des conditions et garanties visées aux articles 81 et 83, ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations se révèle impossible ou supposerait des efforts disproportionnés, et que le responsable du traitement a publié les informations afin que toute personne soit en mesure de les retrouver; ou

c)  les données ne sont pas collectées auprès de la personne concernée et que l'enregistrement ou la communication des données sont expressément prévus par la législation à laquelle le responsable du traitement est soumis et qui prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, en tenant compte des risques que représentent le traitement et la nature des données à caractère personnel; ou

d)  les données ne sont pas collectées auprès de la personne concernée et que la fourniture de ces informations porte atteinte aux droits et libertés d'autrui d'autres personnes physiques tels qu'ils sont définis dans le droit de l'Union ou le droit d’un État membre, conformément à l'article 21;

d bis)  les données sont traitées, dans l’exercice de sa profession, par une personne soumise à une obligation de secret professionnel réglementée par le droit de l'Union ou d'un État membre ou à un devoir légal de confidentialité, ou sont confiées ou portées à la connaissance d’une telle personne, à moins que les données ne soient collectées directement auprès de la personne concernée.

6.  Dans le cas visé au paragraphe 5, point b), le responsable du traitement prend les mesures appropriées pour protégerles droits ou les intérêts légitimes de la personne concernée.

7.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères applicables aux catégories de destinataires visées au paragraphe 1, point f), l'obligation d'informer sur les possibilités d'accès prévues au paragraphe 1, point g), les critères applicables à l'obtention des informations supplémentaires nécessaires visées au paragraphe 1, point h), pour les secteurs et les situations spécifiques, et les conditions et les garanties appropriées encadrant les exceptions prévues au paragraphe 5, point b). Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises.

8.  La Commission peut établir des formulaires types pour la communication des informations énumérées aux paragraphes 1 à 3, compte tenu des caractéristiques et des besoins particuliers des différents secteurs et, le cas échéant, des situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 110]

Article 15

Droit d'accès de la personne concernée d'accéder aux données et de les obtenir

1.  Sous réserve de l'article 12, paragraphe 4, la personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit, et, dans un langage clair et simple, les informations suivantes:

a)  les finalités du traitement pour chaque catégorie de données à caractère personnel;

b)  les catégories de données à caractère personnel concernées;

c)  les destinataires ou les catégories de destinataires auxquels les données à caractère personnel doivent être ou ont été communiquées, en particulier notamment les destinataires établis dans des pays tiers;

d)  la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères permettant de déterminer cette durée;

e)  l’existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données;

f)  le droit d’introduire une réclamation auprès de l'autorité de contrôle et les coordonnées de ladite autorité;

g)  la communication des données à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données;

h)  l'importance et les conséquences envisagées de ce traitement, au moins dans le cas des mesures prévues à l'article 20 ;

h bis)  des informations utiles relatives à la logique qui sous-tend tout traitement automatisé;

h ter)  sans préjudice de l'article 21, lorsque des données à caractère personnel ont été divulguées à une autorité publique à la demande de cette dernière, la confirmation qu'une telle demande a bien été faite.

2.  La personne concernée a le droit d'obtenir du responsable du traitement la communication des données à caractère personnel en cours de traitement. Lorsque la personne concernée fait la demande sous forme électronique, les informations sont fournies sous dans un forme format électronique et structuré, à moins que la personne concernée ne demande qu'il en soit autrement. Sans préjudice de l'article 10, le responsable du traitement prend toutes les mesures raisonnables pour vérifier que la personne demandant l'accès aux données est la personne concernée.

2 bis.  Lorsque les données à caractère personnel ont été communiquées par la personne concernée et que ces données font l'objet d'un traitement automatisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données à caractère personnel communiquées dans un format électronique interopérable qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle. Lorsque cela est techniquement réalisable et matériellement possible, les données sont transférées directement d'un responsable du traitement à un autre à la demande de la personne concernée.

2 ter.  Le présent article est sans préjudice de l'obligation de supprimer des données devenues inutiles en vertu de l'article 5, paragraphe 1, point e).

2 quater.  Il n'existe aucun droit d'accès conformément aux paragraphes 1 et 2 lorsque des données au sens de l'article 14, paragraphe 5, point d bis), sont concernées, à moins que la personne concernée n'ait le pouvoir de lever le secret en question et agit en ce sens.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la communication, à la personne concernée, du contenu des données à caractère personnel mentionnées au paragraphe 1, point g).

4.  La Commission peut préciser les formulaires types et les procédures de demande et d'accès aux informations mentionnées au paragraphe 1, y compris pour la vérification de l’identité de la personne concernée et la communication de ses données à caractère personnel à la personne concernée, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 111]

SECTION 3

RECTIFICATION ET EFFACEMENT

Article 16

Droit de rectification

La personne concernée a le droit d'obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes. La personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris au moyen d'une déclaration rectificative complémentaire.

Article 17

Droit à l'oubli numérique et à l'effacement

1.  La personne concernée a le droit d'obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne des et d’obtenir de tiers l'effacement de tous les liens vers ces données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était enfant, ou de toute copie ou reproduction de celles-ci, pour l'un des motifs suivants:

a)  les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;

b)  la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou lorsque le délai de conservation autorisé a expiré et qu'il n'existe pas d'autre motif légal au traitement des données;

c)  la personne concernée s'oppose au traitement des données à caractère personnel en vertu de l'article 19;

c bis)  une juridiction ou une autorité réglementaire basée dans l'Union a jugé que les données concernées doivent être effacées et cette décision est passée en force de chose jugée;

d)  le traitement desles données n'est pas conforme au présent règlement pour d'autres motifs. ont fait l'objet d'un traitement illicite.

1 bis.  L'application du paragraphe 1 dépend de la capacité du responsable du traitement à vérifier que la personne demandant l'effacement est la personne concernée.

2.  Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel sans aucune justification fondée sur l'article 6, paragraphe 1, il prend toutes les mesures raisonnables pour que ces données soient effacées, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le par des tiers, sans préjudice de l'article 77. Le responsable du traitement a autorisé un informe la personne concernée, lorsque cela est possible, des mesures prises par les tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. concernés.

3.  Le responsable du traitement procède et, le cas échant, le tiers procèdent à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire:

a)  à l'exercice du droit à la liberté d'expression, conformément à l'article 80;

b)  pour des motifs d'intérêt général dans le domaine de la santé publique, conformément à l'article 81;

c)  à des fins de recherche historique, statistique et scientifique, conformément à l'article 83;

d)  au respect d'une obligation légale de conserver les données à caractère personnel prévue par le droit de l'Union ou par le droit d'un État membre auquel le responsable du traitement est soumis; le droit de l'État membre doit répondre à un objectif d’intérêt général, respecter l’essence du droit à la protection des données à caractère personnel et être proportionné à l'objectif légitime poursuivi;

e)  dans les cas mentionnés au paragraphe 4.

4.  Au lieu de procéder à l'effacement, le responsable du traitement limite le traitement de données à caractère personnel de manière à ce qu'elles ne soient pas soumises aux manipulations usuelles d'accès aux données et de traitement des données et qu'elles ne puissent plus être modifiées:

a)  pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données lorsque cette dernière est contestée par la personne concernée;

b)  lorsqu’elles ne sont plus utiles au responsable du traitement pour qu’il s’acquitte de sa mission, mais qu'elles doivent être conservées à des fins probatoires ; ou

c)  lorsque leur traitement est illicite et que la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation;

c bis)  lorsqu'une juridiction ou une autorité réglementaire basée dans l'Union a jugé que le traitement des données concernées doit être limité et cette décision est passée en force de chose jugée;

d)  lorsque la personne concernée demande le transfert des données à caractère personnel à un autre système de traitement automatisé, conformément à l'article 18 15, paragraphe 2 2 bis.

d bis)  lorsque le type particulier de technologie de stockage ne permet pas l'effacement et a été mis en place avant l'entrée en vigueur du présent règlement.

5.  Les données à caractère personnel visées au paragraphe 4 ne peuvent être traitées, à l’exception de la conservation, qu’à des fins probatoires, ou avec le consentement de la personne concernée, ou aux fins de la protection des droits d’une autre personne physique ou morale ou pour un objectif d’intérêt général.

6.  Lorsque le traitement des données à caractère personnel est limité conformément au paragraphe 4, le responsable du traitement informe la personne concernée avant de lever la limitation frappant le traitement.

7.  Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l’effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.

8.  Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel.

8 bis.  Le responsable du traitement met en œuvre des mécanismes assurant le respect des délais applicables à l'effacement des données à caractère personnel et/ou à un examen périodique de la nécessité de conserver ces données.

9.  La Commission est habilitée à adopter, après avoir demandé l’avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 86, aux fins de préciser:

a)  les exigences et critères relatifs à l'application du paragraphe 1 dans des secteurs spécifiques et des situations spécifiques impliquant le traitement de données;

b)  les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit le paragraphe 2;

c)  les conditions et critères applicables à la limitation du traitement des données à caractère personnel, visés au paragraphe 4. [Am. 112]

Article 18

Droit à la portabilité des données

1.  Lorsque des données à caractère personnel font l'objet d'un traitement automatisé dans un format structuré et couramment utilisé, la personne concernée a le droit d'obtenir auprès du responsable du traitement une copie des données faisant l'objet du traitement automatisé dans un format électronique structuré qui est couramment utilisé et qui permet la réutilisation de ces données par la personne concernée.

2.  Lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu'elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n'y fasse obstacle.

3.  La Commission peut préciser le format électronique visé au paragraphe 1, ainsi que les normes techniques, les modalités et les procédures pour la transmission de données à caractère personnel conformément au paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 113]

SECTION 4

DROIT D'OPPOSITION ET PROFILAGE

Article 19

Droit d'opposition

1.  La personne concernée a le droit de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à ce que des données à caractère personnel fassent l'objet d'un traitement fondé sur l'article 6, paragraphe 1, points d), e) et f), et e), à moins que le responsable du traitement n'établisse l’existence de raisons impérieuses et légitimes justifiant le traitement, qui priment les intérêts ou les libertés et droits fondamentaux de la personne concernée.

2.  Lorsque les le traitement de données à caractère personnel sont traitées à des fins de marketing direct, est fondé sur l'article 6, paragraphe 1, point f), la personne concernée a le droit de s'opposer sans frais, à tout moment et sans autre justification, à titre général ou à toute fin spécifique, au traitement des données à caractère personnel la concernant en vue de ce marketing direct. Ce droit est explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations.

2 bis.  Le droit visé au paragraphe 2 est explicitement proposé à la personne concernée d'une façon et sous une forme intelligible, dans un langage simple et clair, en particulier si la personne concernée est un enfant, et doit pouvoir être clairement distingué d'autres informations.

2 ter.  Dans le contexte de l'utilisation des services de la société de l'information, et nonobstant la directive 2002/58/CE, le droit d'opposition peut être exercé à l'aide de procédés automatisés en utilisant une norme technique permettant à la personne concernée d'exprimer clairement sa volonté.

3.  Lorsqu'il est fait droit à une opposition en vertu des paragraphes 1 et 2, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées aux fins définies dans l'opposition. [Am. 114]

Article 20

Mesures fondées sur le Profilage

1.  Sans préjudice des dispositions de l'article 6, toute personne physique a le droit de ne pas être soumise à une mesure produisant des effets juridiques à son égard ou l'affectant de manière significative, prise sur le seul fondement d'un traitement automatisé destiné à évaluer certains aspects personnels propres à cette personne physique ou à analyser ou prévoir en particulier le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement. s'opposer au profilage conformément à l'article 19. La personne concernée est informée de son droit de s'opposer au profilage de façon très visible.

2.  Sous réserve des autres dispositions du présent règlement, une personne ne peut être soumise à une mesure telle que celle visée au paragraphe 1un profilage qui conduit à des mesures produisant des effets juridiques pour la personne concernée ou qui, de façon similaire, affecte de manière significative les intérêts, les droits ou libertés de la personne concernée que si le traitement:

a)  est effectué dans le cadre nécessaire aux fins de la conclusion ou de l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été invoquées, à condition que des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée, tels que le droit d’obtenir une intervention humaine aient été invoquées; ou

b)  est expressément autorisé par le droit de l'Union ou d'un État membre qui prévoit également des mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou

c)  est fondé sur le consentement de la personne concernée, sous réserve des conditions énoncées à l’article 7 et de garanties appropriées.

3.  Le traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels propres à une personne physiqueTout profilage qui a pour effet d'instaurer à l’égard de personnes physiques des discriminations fondées sur la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale, l'orientation sexuelle ou l'identité de genre, ou qui se traduit par des mesures produisant un tel effet, est interdit. Le responsable du traitement met en œuvre des mesures de protection efficace contre les discriminations pouvant découler du profilage. Le profilage ne peut être exclusivement fondé sur les catégories particulières de données à caractère personnel mentionnées à l’article 9.

4.  Dans les cas prévus au paragraphe 2, les informations que le responsable du traitement doit fournir en vertu de l'article 14 comportent notamment des informations relatives à l’existence du traitement pour une mesure telle que celle visée au paragraphe 1 et aux effets escomptés de ce traitement sur la personne concernée.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables auxLe profilage qui conduit à des mesures produisant des effets juridiques pour la personne concernée ou qui, de manière similaire, affecte de manière significative les intérêts,les droits ou les libertés de la personne concernée ne peut être fondé exclusivement ou principalement sur le traitement automatisé et inclut une appréciation humaine, y compris une explication de la décision prise à la suite de cette appréciation. Les mesures appropriées garantissant la sauvegarde des intérêts légitimes de la personne concernée conformément au paragraphe 2 incluent le droit d'obtenir une appréciation humaine et une explication de la décision prise à la suite de cette appréciation.

5 bis.  Le comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques conformément à l'article 66, paragraphe 1, point b), en vue de préciser davantage les critères et conditions s'appliquant au profilage en vertu du paragraphe 2. [Am. 115]

SECTION 5

Limitations

Article 21

Limitations

1.  Le droit de l'Union ou le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus à l'article 5, points a) à e), aux articles 11 à 20 19 et à l'article 32, lorsqu'une telle limitation pour autant que cette limitation poursuive un objectif clairement défini d'intérêt général, qu'elle respecte l’essence du droit à la protection des données à caractère personnel, qu'elle soit proportionnée à l'objectif légitime poursuivi, qu'elle respecte les droits fondamentaux et les intérêts de la personne concernée, et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour:

a)  assurer la sécurité publique;

b)  assurer la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière;

c)  sauvegarder d'autres intérêts généraux de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, ainsi que la stabilité et l'intégrité des marchés;les aspects fiscaux;

d)  assurer la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

e)  assurer une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à dans le cadre de l'exercice de l' d'une autorité publique compétente, dans les cas visés aux points a), b), c) et d);

f)  garantir la protection de la personne concernée ou des droits et libertés d'autrui.

2.  Tout mesure législative visée au paragraphe 1 doit être nécessaire et proportionnée dans une société démocratique et doit notamment contenir des dispositions spécifiques relatives, au moins,:

a)   aux finalités du traitement; et

b)  aux modalités d'identification du responsable du traitement.;

c)  aux finalités et moyens spécifiques du traitement;

d aux garanties destinées à prévenir les abus ou la consultation ou le transfert illicite;

e)  au droit des personnes concernées à être tenues informées de toute limitation.

2 bis.  Les mesures législatives visées au paragraphe 1 n'autorisent ni n'obligent les responsables du traitement privés à conserver des données qui s’ajouteraient à celles strictement nécessaires pour les finalités prévues à l'origine. [Am. 116]

CHAPITRE IV

RESPONSABLE DU TRAITEMENT ET SOUS‑TRAITANT

SECTION 1

OBLIGATIONS GÉNÉRALES

Article 22

Obligations incombant Responsabilité du responsable du traitement et obligation de rendre des comptes à charge du responsable du traitement

1.  Le responsable du traitement adopte des règles internes appropriées et met en œuvre les des mesures techniques et organisationnelles appropriées et démontrables pour garantir, et être à même de démontrer de façon transparente, que le traitement des données à caractère personnel est effectué dans le respect du présent règlement, compte étant tenu des techniques les plus récentes, de la nature du traitement des données à caractère personnel, du contexte, de la portée et des finalités du traitement, des risques pour les droits et libertés de la personne concernée et du type d'organisation, tant lors de la définition des moyens de traitement que lors du traitement proprement dit.

1 bis.  Compte étant tenu des techniques les plus récentes et du coût de mise en œuvre, le responsable du traitement prend toutes les mesures raisonnables pour appliquer des politiques et procédures de conformité qui respectent systématiquement les choix indépendants des personnes concernées. Ces politiques de conformité sont révisées tous les deux ans au moins et mises à jour si nécessaire.

2.  Les mesures prévues au paragraphe 1 portent notamment sur:

a)  la tenue de la documentation en application de l'article 28;

b)  la mise en œuvre des obligations en matière de sécurité des données prévues à l’article 30;

c)  la réalisation d'une analyse d’impact relative à la protection des données en application de l'article 33;

d)  le respect des obligations en matière d'autorisation ou de consultation préalables de l'autorité de contrôle en application de l'article 34, paragraphes 1 et 2;

e)  la désignation d'un délégué à la protection des données en application de l’article 35, paragraphe 1.

3.  Le responsable du traitement met en œuvre des mécanismes pour vérifier l’efficacité est en mesure de démontrer le caractère adéquat et efficace des mesures énoncées aux paragraphes 1 et 2. Sous réserve de la proportionnalité d' Les rapports généraux d'activité réguliers du responsable du traitement, tels que les rapports obligatoires des sociétés cotées en bourse, contiennent une telle mesure, des auditeurs indépendants internes ou externes procèdent à cette vérification. description des règles internes et mesures visées au paragraphe 1.

3 bis.  Le responsable du traitement a le droit de transmettre des données à caractère personnel dans l'Union au sein du groupe d'entreprises dont il est fait partie, lorsque ce traitement est nécessaire à des fins administratives internes légitimes entre des zones commerciales connectées du groupe d'entreprises, et si un niveau adéquat de protection des données ainsi que les intérêts des personnes concernées sont garantis par des dispositions internes en matière de protection des données ou des codes de conduite équivalents tels que visés à l'article 38.

4.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées visées au paragraphe 1, autres que celles déjà visés au paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe 3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager des mesures spécifiques pour les micro, petites entreprises et moyennes entreprises. [Am. 117]

Article 23

Protection des données dès la conception et protection des données par défaut

1.  Compte étant tenu des techniques les plus récentes, des connaissances techniques actuelles, des meilleures pratiques internationales et des coûts liés à leur mise en œuvre, risques représentés par le traitement des données, le responsable du traitement applique et, le cas échéant, le sous-traitant mettent en oeuvre, tant lors de la définition des finalités et des moyens de traitement que lors du traitement proprement dit, les des mesures et procédures techniques et organisationnelles appropriées et proportionnées, de manière à ce que le traitement réponde aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, notamment en ce qui concerne les principes établis à l'article 5. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu'à la suppression en passant par le traitement. Elle est systématiquement axée sur l'existence de garanties procédurales globales en ce qui concerne l'exactitude, la confidentialité, l'intégrité, la sécurité physique et la suppression des données à caractère personnel. Lorsque le responsable du traitement a procédé à une analyse d'impact relative à la protection des données, en vertu de l'article 33, les résultats sont pris en compte lors de l'élaboration desdites mesures et procédures.

1 bis.  Afin d'encourager sa mise en œuvre étendue dans différents secteurs économiques, la protection des données dès la conception est une condition préalable aux offres de marchés publics conformément à la directive 2004/18/CE du Parlement et du Conseil(17) ainsi qu’à la directive 2004/17/CE du Parlement européen et du Conseil(18) ("directive secteurs spéciaux").

2.  Le responsable du traitement met en œuvre des mécanismes visant à garantir s'assure que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n'étant, en particulier, pas collectées ou, conservées ou communiquées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation. En particulier, ces mécanismes garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques et que les personnes concernées ont la possibilité de contrôler la diffusion de leurs données à caractère personnel.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser d'éventuels critères et exigences supplémentaires applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1 et 2, en ce qui concerne notamment les exigences en matière de protection des données dès la conception applicables à l’ensemble des secteurs, produits et services.

4.  La Commission peut définir des normes techniques pour les exigences fixées aux paragraphes 1 et 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 118]

Article 24

Responsables conjoints du traitement

Lorsque plusieurs responsables du traitement définissent conjointement les finalités et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d’accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l'exercice des droits de la personne concernée. L'accord reflète dûment les rôles effectifs respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées et les grandes lignes de l’accord sont mises à disposition de la personne concernée. Lorsque la responsabilité n'est pas clairement établie, les responsables du traitement sont conjointement et solidairement responsables. [Am. 119]

Article 25

Représentants des responsables du traitement qui ne sont pas établis dans l’Union

1.  Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union.

2.  Cette obligation ne s’applique pas:

a)  à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41; ou

b)  à une entreprise employant moins de 250 salariés; ouà un responsable du traitement qui traite des données à caractère personnel qui concernent moins de 5 000 personnes au cours de toute période de 12 mois consécutifs et qui ne traite pas de catégories particulières de données à caractère personnel telles que visées à l'article 9, paragraphe 1, de données de localisation ou de données relatives à des enfants ou à des travailleurs dans des fichiers informatisés de grande ampleur; ou

c)  à une autorité ou à un organisme publics; ou

d)  à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union, à moins que le traitement de données à caractère personnel concerne des catégories particulières de données à caractère personnel telles que visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou à des travailleurs dans des fichiers informatisés de grande ampleur.

3.  Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de a lieu l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé aux personnes concernées ou le suivi de ces personnes.

4.  La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui‑même. [Am. 120]

Article 26

Sous‑traitant

1.  Lorsque le traitement doit être effectué pour son compte, le responsable du traitement choisit un sous‑traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et organisationnelles régissant le traitement à effectuer, et veille au respect de ces mesures.

2.  La réalisation de traitements en sous‑traitance est régie par un contrat ou un autre acte juridique qui lie le sous‑traitant au responsable du traitement et qui prévoit notamment. Le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et tâches respectifs quant au respect des exigences du présent règlement ,et prévoient que le sous‑traitant:

a)  n'agitne traite des données à caractère personnel que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit sauf disposition contraire du droit de l'Union ou du droit d’un État membre;

b)  n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

c)  prend toutes les mesures nécessaires en vertu de l’article 30;

d)  n'engage unne définit les conditions d'engagement d'un autre sous‑traitant que moyennant l'autorisation préalable du responsable du traitement, sauf disposition contraire;

e)  dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires appropriées et pertinentes pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f)  aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34, en tenant compte de la nature du traitement et des informations à la disposition du sous-traitant;

g)  transmetremet tous les résultats au responsable du traitement après la fin du traitement, et s'abstient de traiter les données à caractère personnel de toute autre manière, et supprime les copies existantes, à moins que le droit de l'Union ou des États membres n'exige le stockage des données;

h)  met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du pour démontrer le respect des obligations prévues par le présent article et permet des inspections sur place.

3.  Le responsable du traitement et le sous‑traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous‑traitant énoncées au paragraphe 2.

3 bis.  Les garanties suffisantes visées au paragraphe 1 peuvent être fournies par l'adhésion à des codes de conduite ou des mécanismes de certification en vertu de l’article 38 ou 39 du présent règlement.

4.  S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, ou s'il devient la partie déterminante en ce qui concerne les finalités et moyens du traitement des données, le sous‑traitant est considéré comme responsable du traitement à l’égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous‑traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d’un groupe d’entreprises, en particulier aux fins de contrôle et de présentation de rapports. [Am. 121]

Article 27

Traitement effectué sous l'autorité du responsable du traitement et du sous‑traitant

Le sous‑traitant ainsi que toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous‑traitant, qui a accès à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, à moins d’y être obligé par la législation de l'Union ou d’un État membre.

Article 28

Documentation

1.  Chaque responsable du traitement et chaque sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement, conservent conserve une trace documentaire de tous les traitements effectués sous leur responsabilité régulièrement mise à jour nécessaire au respect des exigences établies dans le présent règlement.

2.  La documentation constituée comporte au moins lesEn outre, chaque responsable du traitement et sous‑traitant conserve une trace documentaire des informations suivantes:

a)  le nom et les coordonnées du responsable du traitement, ou de tout responsable conjoint du traitement ou de tout sous‑traitant, et du représentant, le cas échéant;

b)  le nom et les coordonnées du délégué à la protection des données, le cas échéant;

c)  les finalités du traitement, y compris les intérêts légitimes poursuivis par le responsable du traitement, lorsque le traitement se fonde sur l'article 6, paragraphe 1, point f);

d)  une description des catégories de personnes concernées et des catégories de données à caractère personnel s'y rapportant;

e)  les destinataires ou les catégories de destinataires des données à caractère personnel, y compris lesle nom et les coordonnées des responsables du traitement auxquels les données à caractère personnel sont communiquées aux fins de l'intérêt légitime qu'ils poursuivent, le cas échéant;

f)  le cas échéant, les transferts de données vers un pays tiers ou à une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 44, paragraphe 1, point h), les documents attestant l’existence de garanties appropriées;

g)  une indication générale des délais impartis pour l'effacement des différentes catégories de données;

h)  la description des mécanismes prévus à l'article 22, paragraphe 3.

3.  Le responsable du traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent la documentation à la disposition de l'autorité de contrôle, à la demande de celle‑ci.

4.  Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas aux responsables du traitement et aux sous‑traitants relevant des catégories suivantes:

a)  personnes physiques traitant des données à caractère personnel en l'absence de tout intérêt commercial; ou

b)  entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à leur activité principale.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la documentation visée au paragraphe 1, pour tenir compte, notamment, des obligations du responsable du traitement et du sous‑traitant et, le cas échéant, du représentant du responsable du traitement.

6.  La Commission peut établir des formulaires types pour la documentation visée au paragraphe 1. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 122]

Article 29

Coopération avec l'autorité de contrôle

1.  Le responsable du traitement et, le cas échant, le sous‑traitant ainsi que, le cas échéant, le représentant du responsable du traitement, coopèrent, sur demande, avec l’autorité de contrôle dans l'exécution de ses fonctions, notamment en communiquant les informations énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès, conformément aux dispositions du point b) dudit paragraphe.

2.  Lorsque l'autorité de contrôle exerce les pouvoirs qui lui sont conférés en vertu de l'article 53, paragraphe 2, le responsable du traitement et le sous‑traitant répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé par celle‑ci. La réponse comprend une description des mesures prises et des résultats obtenus, compte tenu des observations formulées par l'autorité de contrôle. [Am. 123]

SECTION 2

SÉCURITÉ DES DONNÉES

Article 30

Sécurité des traitements

1.  Le responsable du traitement et le sous‑traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger, en tenant compte des résultats de l'analyse d'impact relative à la protection des données en vertu de l'article 33, ainsi que des techniques les plus récentes et des coûts liés à leur mise en œuvre.

1 bis.  Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, cette politique de sécurité inclut:

a)  la capacité de garantir que l'intégrité des données à caractère personnel est validée;

b)  la capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement des données à caractère personnel;

c)  la capacité de rétablir la disponibilité des données et l'accès à celles-ci, dans les plus brefs délais, en cas d'incident physique ou technique qui compromet la disponibilité, l'intégrité et la confidentialité des systèmes et des services d'information;

d)  s'agissant du traitement de données à caractère personnel sensibles conformément aux articles 8 et 9, des mesures de sécurité supplémentaires afin d'assurer la prise de conscience pleine et entière des risques et la capacité de prendre des mesures de prévention, de correction et d'atténuation, presque en temps réel, face aux faiblesses et incidents décelés qui pourraient présenter un risque pour les données;

e)  une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des politiques, des procédures et des plans de sécurité mis en place pour assurer une efficacité constante.

2.  À la suite d'une évaluation des risques, le responsable du traitement et le sous‑traitant prennentLes mesures prévues visées au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorisés, ou l'altération de données à caractère personnel. poursuivent au moins les objectifs suivants:

a)  garantir que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées;

b)  protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites; et

c)  assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables auxLe comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément à l'article 66, paragraphe 1, point b), concernant les mesures techniques et organisationnelles visées aux paragraphes 1 et 2, y compris la détermination de ce qui constitue les techniques les plus récentes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception et de protection des données par défaut, sauf si le paragraphe 4 s'applique.

4.  La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue:

a)  d’empêcher tout accès non autorisé à des données à caractère personnel;

b)  d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel;

c)  d'assurer la vérification de la licéité des traitements.

Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 124]

Article 31

Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1.  En cas de violation de données à caractère personnel, le responsable du traitement en adresse notification à l'autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard.

2.  En vertu de l’article 26, paragraphe 2, point f), leLe sous‑traitant alerte et informe le responsable du traitement immédiatement après avoir constaté d’une violation de données à caractère personnel sans retard injustifié après avoir constaté cette violation.

3.  La notification visée au paragraphe 1 doit, à tout le moins:

a)  décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés;

b)  communiquer l’identité et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c)  recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel;

d)  décrire les conséquences de la violation de données à caractère personnel;

e)  décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel et en atténuer les effets.

Les informations peuvent, si nécessaire, être transmises en plusieurs phases.

4.  Le responsable du traitement conserve une trace documentaire de toute violation de données à caractère personnel, en indiquant son contexte, ses effets et les mesures prises pour y remédier. La documentation constituée doit être suffisante pour permettre à l'autorité de contrôle de vérifier le respect du présent article et de l'article 30. Elle comporte uniquement les informations nécessaires à cette fin.

4 bis.  L'autorité de contrôle tient un registre public des types de violations notifiées.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables àLe comité européen de la protection des données est chargé de formuler des lignes directrices, recommandations et bonnes pratiques conformément à l'article 66, paragraphe 1, point b), aux fins de l’établissement de la violation de données visée et de la détermination du retard injustifié visés aux paragraphes 1 et 2 et concernant les circonstances particulières dans lesquelles un responsable du traitement et un sous-traitant sont tenus de notifier la violation de données à caractère personnel.

6.  La Commission peut définir la forme normalisée de cette notification à l'autorité de contrôle, les procédures applicables à l’obligation de notification ainsi que le formulaire type et les modalités selon lesquelles est constituée la documentation visée au paragraphe 4, y compris les délais impartis pour l’effacement des informations qui y figurent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 125]

Article 32

Communication à la personne concernée d'une violation de données à caractère personnel

1.  Lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l'article 31, communique la violation sans retard injustifié à la personne concernée.

2.  La communication à la personne concernée prévue au paragraphe 1 est détaillée et utilise un langage clair et simple. Elle décrit la nature de la violation des données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 31, paragraphe 3, points b) et, c) et d), ainsi que des informations sur les droits de la personne concernée, y compris concernant les possibilités de recours.

3.  La communication à la personne concernée d'une violation des données à caractère personnel la concernant n'est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu'il a mis en œuvre des mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n'est pas autorisée à y avoir accès.

4.  Sans préjudice de l’obligation du responsable du traitement de communiquer à la personne concernée la violation des données à caractère personnel la concernant, si le responsable du traitement n'a pas déjà informé la personne concernée de la violation des données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné les effets potentiellement négatifs de cette violation, exiger du responsable du traitement qu'il s'exécute.

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigencesLe comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément à l'article 66, paragraphe 1, point b), concernant les circonstances, visées au paragraphe 1, dans lesquelles une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel, à la vie privée, aux droits ou aux intérêts légitimes de la personne concernée.

6.  La Commission peut définir la forme de la communication à la personne concernée prévue au paragraphe 1 et les procédures applicables à cette communication. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 126]

Article 32 bis

Analyse des risques

1.  Le responsable du traitement ou, le cas échéant, le sous-traitant, réalise une analyse des risques en ce qui concerne les répercussions potentielles du traitement de données prévu sur les droits et les libertés des personnes concernées, en évaluant si les traitements sont susceptibles de présenter des risques spécifiques.

2.  Les traitements susceptibles de présenter des risques spécifiques sont les suivants:

a)  le traitement de données à caractère personnel de plus de 5 000 personnes concernées sur toute période de douze mois consécutifs;

b)  le traitement des catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, de données de localisation, ou de données relatives à des enfants ou à des travailleurs dans des fichiers informatisés de grande ampleur;

c)  le profilage sur la base duquel sont prises des mesures qui produisent des effets juridiques concernant une personne ou qui, de façon similaire, affectent de manière significative ladite personne;

d)  le traitement de données à caractère personnel destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;

e)  la surveillance automatisée à grande échelle de zones accessibles au public;

f)  les autres traitements pour lesquels la consultation du délégué à la protection des données ou de l'autorité de contrôle est requise en vertu de l'article 34, paragraphe 2, point b);

g)  lorsqu'une violation des données à caractère personnel risque de porter atteinte à la protection des données à caractère personnel, à la vie privée, aux droits ou intérêts légitimes de la personne concernée;

h)  les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées;

i)  la mise à disposition de données à caractère personnel à un nombre de personnes dont on ne peut raisonnablement attendre qu'il soit limité.

3.  En fonction des résultats de l'analyse des risques:

a)  lorsqu'il est procédé à l'un quelconque des traitements visés au point a) ou b) du paragraphe 2, les responsables du traitement non établis dans l'Union désignent un représentant dans l'Union conformément aux exigences et aux exemptions prévues à l'article 25;

b)  lorsqu'il est procédé à l'un quelconque des traitements visés au point a), b) ou h) du paragraphe 2, le responsable du traitement désigne un délégué à la protection des données conformément aux exigences et aux exemptions prévues à l'article 35;

c)  lorsqu'il est procédé à l'un quelconque des traitements visés au point a), b), c), d), e), f), g) ou h) du paragraphe 2, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement procède à une analyse d'impact relative à la protection des données, en vertu de l'article 33;

d)  lorsqu'il est procédé aux traitements visés au point f) du paragraphe 2, le responsable du traitement consulte le délégué à la protection des données ou, dans l'éventualité où un délégué à la protection des données n'aurait pas été désigné, l'autorité de contrôle, en vertu de l'article 34.

4.  L'analyse des risques est révisée au plus tard après un an, ou immédiatement si la nature, la portée ou les finalités des traitements de données sont sensiblement modifiées. Lorsqu'en application du paragraphe 3, point c), le responsable du traitement n'est pas tenu de procéder à une analyse d'impact relative à la protection des données, l'analyse des risques est documentée. [Am. 127]

SECTION 3

ANALYSE D'IMPACT RELATIVE ÀGESTION DE LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE SUR TOUT LEUR CYCLE DE VIE [Am. 128]

Article 33

Analyse d’impact relative à la protection des données

1.  Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, les dispositions de l'article 32 bis, paragraphe 3, point c), l'exigent, le responsable du traitement ou le sous‑traitant agissant pour le compte du responsable du traitement effectuent une analyse de l'impact des traitements envisagés sur les droits et les libertés des personnes concernées, en particulier leur droit à la protection des données à caractère personnel. Une seule analyse suffit à examiner un ensemble de traitements similaires qui présentent des risques similaires.

2.  Les traitements présentant les risques particuliers visés au paragraphe 1 sont notamment les suivants:

a)  l'évaluation systématique et à grande échelle des aspects personnels propres à une personne physique ou visant à analyser ou à prévoir, en particulier, la situation économique de ladite personne physique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement, qui est fondée sur un traitement automatisé et sur la base de laquelle sont prises des mesures produisant des effets juridiques concernant ou affectant de manière significative ladite personne;

b)  le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la fourniture de soins de santé, à des recherches épidémiologiques ou à des études relatives à des maladies mentales ou infectieuses, lorsque les données sont traitées aux fins de l'adoption de mesures ou de décisions à grande échelle visant des personnes précises;

c)  la surveillance de zones accessibles au public, en particulier lorsque des dispositifs opto‑électroniques (vidéosurveillance) sont utilisés à grande échelle;

d)  le traitement de données à caractère personnel dans des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques;

e)  les autres traitements pour lesquels la consultation de l'autorité de contrôle est requise en application à l'article 34, paragraphe 2, point b).

3.  L'analyse porte sur la gestion de la totalité du cycle de vie des données à caractère personnel, de la collecte à la suppression, en passant par le traitement. Elle contient au moins une description générale des traitements envisagés, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées par les données et des autres personnes touchées.:

a)  une description systématique des traitements envisagés, les finalités du traitement et, le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement;

b)  une évaluation de la nécessité et de la proportionnalité des traitements au regard des finalités;

c)  une évaluation des risques pour les droits et libertés des personnes concernées, notamment du risque de discrimination inhérent au traitement ou que celui-ci pourrait accentuer;

d)  une description des mesures envisagées pour faire face aux risques et réduire au maximum le volume de données à caractère personnel traité;

e)  une liste des garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel, comme la pseudonymisation, et à apporter la preuve de la conformité avec le présent règlement, en tenant compte des droits et intérêts légitimes des personnes concernées et des autres personnes touchées;

f)  une indication générale des délais impartis pour l'effacement des différentes catégories de données;

g)  une explication des pratiques de protection des données dès la conception et par défaut visées à l'article 23 qui ont été mises en œuvre;

h)  une liste des destinataires ou des catégories de destinataires des données à caractère personnel;

i)  le cas échéant, une liste des transferts de données prévus vers un pays tiers ou une organisation internationale, y compris le nom de ce pays tiers ou de cette organisation internationale;

j)  une évaluation du contexte du traitement des données.

3 bis.  Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'analyse d'impact.

3 ter.  L'analyse est documentée et établit un calendrier des examens périodiques réguliers de la conformité de la protection des données, au titre de l'article 33 bis, paragraphe 1. L'analyse est mise à jour sans retard injustifié si les résultats de l'examen de la conformité de la protection des données visé à l'article 33 bis font apparaître des lacunes. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'analyse à la disposition de l'autorité de contrôle, à la demande de celle-ci.

4.  Le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de la sécurité des traitements.

5.  Lorsque le responsable du traitement est une autorité ou un organisme publics, et lorsque le traitement est effectué en exécution d'une obligation légale conforme à l'article 6, paragraphe 1, point c), prévoyant des règles et des procédures relatives aux traitements et réglementées par le droit de l'Union, les paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment qu'une telle analyse est nécessaire avant le traitement.

6.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et conditions applicables aux traitements susceptibles de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que les exigences applicables à l’analyse prévue au paragraphe 3, y compris les conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission envisage des mesures spécifiques pour les micro, petites et moyennes entreprises.

7.  La Commission peut définir des normes et procédures pour la réalisation, la vérification et l’audit de l'analyse visée au paragraphe 3. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 129]

Article 33 bis

Examen de la conformité de la protection des données

1.  Deux ans au plus tard après avoir effectué une analyse d'impact en vertu de l'article 33, paragraphe 1, le responsable du traitement ou le sous-traitant agissant pour le compte de ce dernier procède à un examen de la conformité. Celui-ci démontre que le traitement des données à caractère personnel est effectué conformément à l'analyse d'impact relative à la protection des données.

2.  L'examen de la conformité est réalisé périodiquement, au moins tous les deux ans, ou immédiatement si un changement intervient dans les risques spécifiques présentés par les traitements.

3.  Lorsque les résultats de l'examen de la conformité font apparaître des lacunes, l'examen de la conformité comporte des recommandations pour y remédier.

4.  L'examen de la conformité et ses recommandations sont documentés. Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement mettent l'examen de la conformité à la disposition de l'autorité de contrôle, à la demande de celle-ci.

5.  Si le responsable du traitement ou le sous-traitant a désigné un délégué à la protection des données, ce dernier est associé à la procédure d'examen de la conformité. [Am. 130]

Article 34

Autorisation et Consultation préalables préalable

1.  Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous‑traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

2.  Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent le délégué à la protection des données ou, dans l'éventualité où il n'aurait pas été désigné de délégué à la protection des données, l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:

a)  lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers; ou

b)  lorsque le délégué à la protection des données ou l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.

3.  Lorsque l'autorité de contrôle est d'avis compétente détermine, conformément à ses attributions, que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non‑conformité.

4.  L'autorité de contrôleLe comité européen de la protection des données établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données.

5.  Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste.

6.  Le responsable du traitement ou le sous‑traitant fournissent, sur demande, à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue en vertu de l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

7.  Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.

8.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a).

9.  La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 131]

SECTION 4

DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 35

Désignation du délégué à la protection des données

1.  Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque:

a)  le traitement est effectué par une autorité ou un organisme publics; ou

b)  le traitement est effectué par une entreprise employant 250  personne morale et porte sur plus de 5 000 personnes ou plus concernées sur toute période de douze mois consécutifs; ou

c)  les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées; ou

d)  les activités de base du responsable du traitement ou du sous-traitant consistent à traiter les catégories particulières de données visées à l'article 9, paragraphe 1, des données de localisation ou des données relatives à des enfants ou des travailleurs dans des fichiers informatisés de grande ampleur.

2.  Dans le cas visé au paragraphe 1, point b), unUn groupe d'entreprises peut désigner un délégué principal à la protection des données unique, après s'être assuré qu'il est facile d'avoir accès à un délégué à la protection des données sur chaque lieu d'établissement.

3.  Lorsque le responsable du traitement ou le sous‑traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.

4.  Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous‑traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous‑traitants peuvent désigner un délégué à la protection des données.

5.  Le responsable du traitement ou le sous‑traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous‑traitant.

6.  Le responsable du traitement ou le sous‑traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts.

7.  Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux quatre ans lorsqu'il s'agit d'un employé ou de deux ans lorsqu'il s'agit d'un prestataire externe. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.

8.  Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous‑traitant, ou accomplir ses tâches sur la base d'un contrat de service.

9.  Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public.

10.  Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement.

11.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5. [Am. 132]

Article 36

Fonction du délégué à la protection des données

1.  Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel.

2.  Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données accomplisse ses missions et obligations en toute indépendance et ne reçoive aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à la protection des données fait directement rapport à la direction exécutive du responsable du traitement ou du sous-traitant. Le responsable du traitement ou le sous-traitant désignent à cette fin un membre de la direction exécutive chargé de veiller au respect des dispositions du présent règlement.

3.  Le responsable du traitement ou le sous-traitant aident le délégué à la protection des données à exercer ses missions et fournissent tous les moyens, notamment le personnel, les locaux, les équipements et toutes autres ressources nécessaires à l'exécution des missions et obligations énoncées à l’article 37 et au maintien de ses connaissances professionnelles.

4.  Les délégués à la protection des données sont tenus au secret professionnel pour ce qui est de l'identité des personnes concernées et des circonstances permettant à celles-ci d'être identifiées, à moins que la personne concernée ne les décharge de cette obligation. [Am. 133]

Article 37

Missions du délégué à la protection des données

1.  Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes:

a)  sensibiliser, informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement, notamment en ce qui concerne les mesures et procédures techniques et organisationnelles, et conserver une trace documentaire de cette activité et des réponses reçues;

b)  contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous‑traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

c)  contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi qu’à l'information des personnes concernées et à l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement;

d)  veiller à ce que la documentation visée à l’article 28 soit tenue à jour;

e)  contrôler la documentation, la notification et la communicationrelatives aux violations de données à caractère personnel prévues aux articles 31 et 32;

f)  vérifier que le responsable du traitement ou le sous‑traitant a réalisé l’analyse d’impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises en vertu des articles 32 bis, 33 et 34;

g)  vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

h)  faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative;

i)  veiller au respect du présent règlement dans le cadre du mécanisme de consultation préalable établi à l'article 34;

j)  informer les représentants des travailleurs au sujet du traitement des données des travailleurs.

2.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1. [Am. 134]

SECTION 5

CODES DE CONDUITE ET CERTIFICATION

Article 38

Codes de conduite

1.  Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite ou l'adoption de codes de conduite élaborés par une autorité de contrôle destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment:

a)  le traitement loyal et transparent des données;

a bis)  le respect des droits du consommateur;

b)  la collecte des données;

c)  l'information du public et des personnes concernées;

d)  les demandes formulées par les personnes concernées dans l'exercice de leurs droits;

e)  l'information et la protection des enfants;

f)  le transfert de données vers des pays tiers ou à des organisations internationales;

g)  les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent;

h)  les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75.

2.  Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous‑traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L’autorité de contrôle peut rendre rend, sans retard injustifié, un avis sur la conformité, avec le présent règlement, du traitement effectué conformément au projet de code de conduite ou à la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets.

3.  Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants.

4.  La Commission peut est habilitée à adopter, après avoir demandé l’avis du comité européen de la protection des données, des actes d'exécution délégués en conformité avec l'article 86 afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont conformes au présent règlement et d’applicabilité générale sur le territoire de l'Union. Les Ces actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2 délégués confèrent aux personnes concernées des droits opposables.

5.  La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4. [Am. 135]

Article 39

Certification

1.  Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous‑traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements.

1 bis.  Tout responsable du traitement ou sous-traitant peut demander à n'importe quelle autorité de contrôle dans l'Union de certifier, moyennant le paiement de frais raisonnables tenant compte des coûts administratifs, que le traitement des données à caractère personnel est exécuté dans le respect du présent règlement, notamment des principes énoncés aux articles 5, 23 et 30, et dans le respect des obligations du responsable du traitement et du sous-traitant, et des droits des personnes concernées.

1 ter.  La certification est volontaire, abordable et disponible au travers d'un processus transparent et ne présentant pas de complications injustifiées.

1 quater.  Les autorités de contrôle et le comité européen de la protection des données coopèrent dans le cadre du mécanisme de contrôle de la cohérence conformément à l'article 57 en vue de garantir un mécanisme de certification harmonisé en matière de protection des données, y compris des redevances harmonisées, au sein de l'Union.

1 quinquies.  Pendant la procédure de certification, les autorités de contrôle peuvent agréer des auditeurs tiers spécialisés pour effectuer en leur nom l'audit du responsable du traitement ou du sous-traitant. Les auditeurs tiers disposent de personnel suffisamment qualifié, sont impartiaux et libres de tout conflit d'intérêts par rapport à leurs fonctions. Les autorités de contrôle révoquent l'agrément lorsqu'il existe des raisons de croire que l'auditeur ne remplit pas correctement ses fonctions. La certification finale est octroyée par l'autorité de contrôle.

1 sexies.  Les autorités de contrôle octroient aux responsables du traitement et aux sous-traitants qui, en application de la procédure d'audit, ont obtenu la certification attestant que le traitement des données à caractère personnel auquel ils procèdent est conforme au présent règlement, la marque standardisée de protection des données dénommée "label européen de protection des données".

1 septies.  Le "label européen de protection des données" est valide tant que les opérations de traitement des données exécutées par le responsable du traitement ou le sous-traitant certifié continuent d'être entièrement conformes au présent règlement.

1 octies.  Nonobstant le paragraphe 1 septies, la certification est valide pendant un maximum de cinq ans.

1 nonies.  Le comité européen de la protection des données établit un registre électronique public permettant au public de consulter tous les certificats, valides et invalides, délivrés dans les États membres.

1 decies.  Le comité européen de la protection des données peut, de sa propre initiative, certifier qu'une norme technique renforçant la protection des données est conforme au présent règlement.

2.  La Commission est habilitée, après avoir demandé l’avis du comité européen de la protection des données et avoir consulté les parties prenantes, en particulier l'industrie et des organisations non gouvernementales, à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1 aux paragraphes 1 bis à 1 nonies, y compris les exigences en matière d'agrément des auditeurs, les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers. Ces actes délégués confèrent aux personnes concernées des droits opposables.

3.  La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2. [Am. 136]

CHAPITRE V

TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES

Article 40

Principe général des transferts

Un transfert de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous‑traitant, y compris pour les transferts ultérieurs de données à caractère personnel du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale.

Article 41

Transferts assortis d’une décision relative au caractère adéquat du niveau de protection

1.  Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation spécifique.

2.  Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:

a)  la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, ainsi que la mise en œuvre de la présente législation, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, les précédents jurisprudentiels, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif pour les personnes concernées, notamment pour celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

b)  l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, y compris à l'aide de pouvoirs de sanction suffisants, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres ; et

c)  les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question, en particulier toute convention ou tout instrument juridiquement contraignant en matière de protection des données à caractère personnel.

3.  La Commission peut est habilitée à adopter des actes délégués en conformité avec l’article 86 pour constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. Ces actes délégués prévoient une clause de suppression automatique lorsqu'ils concernent un secteur de traitement de données et sont révoqués conformément au paragraphe 5 dès lors qu'un niveau adéquat de protection des données conforme au présent règlement n'est plus garanti.

4.  L'acte d'exécution délégué précise son champ d'application géographique territorial et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

4 bis.  La Commission suit, de manière permanente, les événements dans les pays tiers et dans les organisations internationales susceptibles de porter atteinte aux éléments énumérés au paragraphe 2 pour lesquels un acte délégué a été adopté en vertu du paragraphe 3.

5.  La Commission peut est habilitée à adopter des actes délégués en conformité avec l'article 86 aux fins de constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas ou plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif pour les personnes concernées, notamment pour celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 87, paragraphe 3.

6.  Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5 du présent article.

6 bis.  Avant d'adopter un acte délégué en vertu des paragraphes 3 et 5, la Commission demande au comité européen de la protection des données de remettre un avis sur le caractère adéquat du niveau de protection. À cette fin, la Commission fournit au comité européen de la protection des données toute la documentation nécessaire, y compris la correspondance avec le gouvernement du pays tiers, le territoire ou le secteur du traitement dans ce pays tiers, ou l’organisation internationale concerné.

7.  La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

8.  Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation pendant cinq ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par la Commission avant la fin de cette période. [Am. 137]

Article 42

Transferts moyennant des garanties appropriées

1.  Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, ou lorsqu'elle décide qu'un pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'offre pas un niveau adéquat de protection des données conformément à l’article 41, paragraphe 5, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible est impossible, à moins que si le responsable du traitement ou le sous‑traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

2.  Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:

a)  des règles d'entreprise contraignantes conformément à l'article 43; ou

a bis)  un "label européen de protection des données" valide octroyé au responsable du traitement et au destinataire, conformément à l'article 39, paragraphe 1 sexies; ou

b)  des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2; ou

c)  des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale en vertu de l'article 62, paragraphe 1, point b); ou

d)  des clauses contractuelles liant le responsable du traitement ou le sous‑traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.

3.  Un transfert effectué en vertu de clauses types de protection des données, d'un "label européen de protection des données" ou de règles d'entreprise contraignantes visés au paragraphe 2, point a), b) a bis) ou c), ne nécessite pas d'autre autorisation spécifique.

4.  Lorsqu'un transfert est effectué en vertu de clauses contractuelles visées au paragraphe 2, point d), du présent article, le responsable du traitement ou le sous‑traitant doit avoir obtenu l'autorisation préalable de l’autorité de contrôle quant aux clauses contractuelles conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.

5.  Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous‑traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation pendant deux ans après l'entrée en vigueur du présent règlement, à moins qu'elles ne soient modifiées, remplacées ou abrogées par ladite autorité de contrôle avant la fin de cette période. [Am. 138]

Article 43

Transferts encadrés par des règles d'entreprise contraignantes

1.  Une autoritéL'autorité de contrôle approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l'article 58, à condition:

a)  qu'elles soient juridiquement contraignantes, qu'elles s'appliquent à toutes les entités du groupe d’entreprises du responsable du traitement ou du sous‑traitant et aux sous‑traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes, y compris à leurs travailleurs, et que lesdites entités en assurent le respect;

b)  qu'elles confèrent expressément aux personnes concernées des droits opposables;

c)  qu'elles respectent les exigences prévues au paragraphe 2.

1 bis.  Concernant les données de l'emploi, les représentants des travailleurs sont informés de l'élaboration de règles d'entreprise contraignantes et, conformément au droit et aux pratiques de l'Union et des États membres, y sont associés.

2.  Les règles d'entreprise contraignantes précisent au moins:

a)  la structure et les coordonnées du groupe d'entreprises et des entités qui le composent, et les sous‑traitants externes qui sont inclus dans le champ d'application des règles d'entreprise contraignantes;

b)  le transfert ou l'ensemble de transferts de données, y compris les catégories de données à caractère personnel, le type de traitement et ses finalités, la catégorie de personnes concernées et le nom du ou des pays tiers en question;

c)  leur nature juridiquement contraignante, tant interne qu'externe;

d)  les principes généraux de protection des données, notamment la limitation de la finalité, la limitation des données au minimum, la minimisation de la durée de conservation des données, la qualité des données, la protection des données dès la conception et par défaut, la base juridique du traitement, le traitement de données à caractère personnel sensibles, les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles internes;

e)  les droits des personnes concernées et les moyens de les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur le profilage conformément à l'article 20, le droit de déposer une réclamation auprès de l'autorité de contrôle compétente et devant les juridictions compétentes des États membres conformément à l’article 75 et d'obtenir réparation et, le cas échéant, une indemnisation pour violation des règles d'entreprise contraignantes;

f)  l'acceptation, par le responsable du traitement ou le sous‑traitant établi sur le territoire d’un État membre, de l’engagement de sa responsabilité pour toute violation des règles d'entreprise contraignantes par toute entité appartenant au groupe d’entreprises non établie dans l'Union; le responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou en partie, de cette responsabilité que s'il prouve que le fait générateur du dommage n'est pas imputable à l'entité en cause;

g)  la manière dont les informations sur les règles d'entreprise contraignantes, notamment en ce qui concerne les éléments mentionnés aux points d), e) et f) du présent paragraphe, sont fournies aux personnes concernées, conformément à l'article 11;

h)  les missions du délégué à la protection des données, désigné conformément à l’article 35, notamment la surveillance, au sein du groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi que le suivi de la formation et du traitement des réclamations;

i)  les mécanismes mis en place au sein du groupe d'entreprises pour garantir que le respect des règles d'entreprise contraignantes est contrôlé;

j)  les mécanismes mis en place pour communiquer et archiver les modifications apportées aux règles internes et pour communiquer ces modifications à l’autorité de contrôle;

k)  le mécanisme de coopération avec l’autorité de contrôle mis en place pour assurer le respect des règles par toutes les entités du groupe d'entreprises, notamment en mettant à la disposition de l'autorité de contrôle les résultats des contrôles des mesures prévues au point i) du présent paragraphe.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage le format, les procédures, les critères et les exigences applicables aux règles d'entreprise contraignantes au sens du présent article, notamment en ce qui concerne les critères applicables à leur approbation, y compris la transparence pour les personnes concernées, l'application du paragraphe 2, points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles adhèrent les sous‑traitants, et les exigences nécessaires supplémentaires pour assurer la protection des données à caractère personnel des personnes concernées en question.

4.  La Commission peut, pour les règles d’entreprise contraignantes au sens du présent article, spécifier la forme de l'échange d’informations par voie électronique entre les responsables du traitement, les sous‑traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2. [Am. 139]

Article 43 bis

Transferts ou divulgations non autorisés par le droit de l'Union

1.  Aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il divulgue des données à caractère personnel n'est reconnue ni rendue exécutoire de quelque manière que ce soit, sans préjudice d'un traité d'assistance juridique mutuelle ou d'un accord international en vigueur entre le pays tiers demandeur et l'Union ou un État membre.

2.  Lorsque la décision d'une juridiction ou d'une autorité administrative d'un pays tiers demande à un responsable du traitement ou à un sous-traitant de divulguer des données à caractère personnel, le responsable du traitement ou le sous-traitant et, le cas échéant, le représentant du responsable du traitement, en informent, sans délai injustifié, l'autorité de contrôle et doivent obtenir auprès de cette dernière une autorisation préalable pour le transfert ou la divulgation des données.

3.  L'autorité de contrôle évalue la conformité de la divulgation demandée avec le présent règlement et, notamment, si la divulgation est nécessaire et exigée d'un point de vue légal conformément à l'article 44, paragraphe 1, points d) et e), et à l'article 44, paragraphe 5. Lorsque des personnes concernées dans d'autres États membres sont affectées, l'autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57.

4.  L'autorité de contrôle porte la demande à la connaissance de l'autorité nationale compétente. Sans préjudice de l'article 21, le responsable du traitement ou le sous-traitant informent également les personnes concernées de cette demande et de l'autorisation accordée par l'autorité de contrôle, et, le cas échéant, informent la personne concernée de toute communication de données à caractère personnel à des autorités publiques au cours des douze derniers mois consécutifs, en vertu de l'article 14, paragraphe 1, point h bis). [Am. 140]

Article 44

Dérogations

1.  En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41 ou de garanties appropriées conformément à l’article 42, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu'à condition que:

a)  la personne concernée ait consenti au transfert envisagé, après avoir été informée des risques du transfert en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; ou

b)  le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; ou

c)  le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale; ou

d)  le transfert soit nécessaire pour des motifs importants d'intérêt général; ou

e)  le transfert soit nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice; ou

f)  le transfert soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement; ou

g)  le transfert intervienne au départ d'un registre public qui, en vertu de dispositions du droit de l'Union ou des États membres, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions prévues dans le droit de l'Union ou des États membres pour la consultation sont remplies dans le cas particulier; ou

h)  le transfert soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou le sous‑traitant, qu'il ne puisse pas être qualifié de fréquent ou de massif et que le responsable du traitement ou le sous‑traitant ait évalué toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et offert, sur la base de cette évaluation, des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu.

2.  Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires.

3.  Lorsque le traitement s'effectue en vertu du paragraphe 1, point h), le responsable du traitement ou le sous‑traitant prend particulièrement en considération la nature des données, la finalité et la durée du ou des traitements envisagés, ainsi que la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et offre des garanties appropriées au regard de la protection des données à caractère personnel, s'il y a lieu.

4.  Les points b), et c) et h) du paragraphe 1 ne sont pas applicables aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique.

5.  L'intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l'Union ou le droit de l'État membre dont relève le responsable du traitement.

6.  Le responsable du traitement ou le sous‑traitant atteste la matérialité, dans la documentation visée à l'article 28, de l'évaluation et des garanties appropriées offertes visées au paragraphe 1, point h), et informe l'autorité de contrôle du transfert.

7.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86,Le comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément à l'article 66, paragraphe 1, point b), aux fins de préciser davantage les «motifs importants d'intérêt général» au sens du paragraphe 1, point d), ainsi que les critères et exigences applicables aux garanties appropriées prévues au transferts de données sur la base du paragraphe 1, point h). [Am. 141]

Article 45

Coopération internationale dans le domaine de la protection des données à caractère personnel

1.  La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a)  élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter garantir l’application de la législation relative à la protection des données à caractère personnel; [Am. 142]

b)  se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, notamment par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’information, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d'autres libertés et droits fondamentaux;

c)  associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans l’application de la législation relative à la protection des données à caractère personnel;

d)  favoriser l'échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel.

d bis)  clarifier les conflits juridictionnels avec les pays tiers et consulter ces derniers à ce sujet. [Am. 143]

2.  Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 41, paragraphe 3.

Article 45 bis

Rapport de la Commission

La Commission soumet au Parlement européen et au Conseil, à intervalles réguliers, et pour la première fois quatre ans au plus tard après la date visée à l'article 91, paragraphe 1, un rapport sur l'application des articles 40 à 45. À cette fin, la Commission peut demander des informations aux États membres et aux autorités de contrôle, lesquelles sont fournies sans délai injustifié. Ce rapport est rendu public. [Am. 144]

CHAPITRE VI

AUTORITÉS DE CONTRÔLE INDÉPENDANTES

SECTION 1

STATUT D'INDÉPENDANCE

Article 46

Autorité de contrôle

1.  Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application du présent règlement et de contribuer à son application cohérente dans l’ensemble de l'Union, afin de protéger les libertés et droits fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission.

2.  Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui sert de point de contact unique permettant une participation efficace de ces autorités au comité européen de la protection des données, et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 57.

3.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du présent chapitre, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Article 47

Indépendance

1.  L'autorité de contrôle exerce en toute indépendance et impartialité les missions et les pouvoirs qui lui sont confiés, nonobstant les dispositions relatives à la coopération et à la cohérence au titre du chapitre VII du présent règlement. [Am. 145]

2.  Dans l'accomplissement de leur mission, les membres de l'autorité de contrôle ne sollicitent ni n'acceptent d'instructions de quiconque.

3.  Les membres de l’autorité de contrôle s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.

4.  Après la cessation de leurs fonctions, les membres de l'autorité de contrôle sont tenus de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.

5.  Chaque État membre veille à ce que l’autorité de contrôle dispose des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données.

6.  Chaque État membre veille à ce que l'autorité de contrôle dispose de son propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.

7.  Les États membres veillent à ce que l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que l’autorité de contrôle dispose de budgets annuels propres. Les budgets sont rendus publics.

7 bis.  Chaque État membre veille à ce que l'autorité de contrôle soit responsable devant le parlement national pour des raisons de contrôle budgétaire. [Am. 146]

Article 48

Conditions générales applicables aux membres de l'autorité de contrôle

1.  Chaque État membre prévoit que les membres de l’autorité de contrôle doivent être nommés soit par son parlement, soit par son gouvernement.

2.  Les membres sont choisis parmi les personnes offrant toutes garanties d'indépendance et qui possèdent une expérience et une compétence notoires pour l'accomplissement de leurs fonctions, notamment dans le domaine de la protection des données à caractère personnel.

3.  Les fonctions des membres prennent fin à l'échéance de leur mandat, en cas de démission ou de mise à la retraite d'office conformément au paragraphe 5.

4.  Un membre peut être déclaré démissionnaire ou déchu du droit à pension ou d'autres avantages en tenant lieu par la juridiction nationale compétente, s'il ne remplit plus les conditions nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.

5.  Un membre dont le mandat expire ou qui démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau membre.

Article 49

Règles relatives à l'établissement de l'autorité de contrôle

Chaque État membre prévoit par voie législative, dans les limites du présent règlement:

a)  l'établissement et le statut de l’autorité de contrôle;

b)  les qualifications, l'expérience et les compétences requises pour exercer les fonctions de membre de l'autorité de contrôle;

c)  les règles et les procédures pour la nomination des membres de l'autorité de contrôle, ainsi que les règles relatives aux activités ou emplois incompatibles avec leurs fonctions;

d)  la durée du mandat des membres de l’autorité de contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier mandat après l'entrée en vigueur du présent règlement, qui peut être d’une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de l'autorité de contrôle au moyen d'une procédure de nominations échelonnées;

e)  le caractère renouvelable ou non renouvelable du mandat des membres de l'autorité de contrôle;

f)  le statut et les conditions communes régissant les fonctions des membres et agents de l’autorité de contrôle;

g)  les règles et les procédures relatives à la cessation des fonctions des membres de l’autorité de contrôle, y compris lorsqu’ils ne remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou s'ils ont commis une faute grave.

Article 50

Secret professionnel

Les membres et agents de l'autorité de contrôle sont soumis, y compris après la cessation de leurs activités et conformément à la législation et aux pratiques nationales, à l'obligation de secret professionnel à l'égard de toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles, tout en menant leurs missions en toute indépendance et en toute transparence conformément comme indiqué au présent règlement. [Am. 147]

SECTION 2

FONCTIONS ET POUVOIRS

Article 51

Compétence

1.  Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, est habilitée à remplir les fonctions et à exercer les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève, sans préjudice des articles 73 et 74. Les traitements de données effectués par une autorité publique ne sont contrôlés que par l'autorité de contrôle de cet État membre. [Am. 148]

2.  Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous‑traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous‑traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous‑traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement. [Am. 149]

3.  L’autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle.

Article 52

Fonctions

1.  L'autorité de contrôle:

a)  contrôle et assure l’application du présent règlement;

b)  reçoit les réclamations introduites par toute personne concernée ou par une association la représentant conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire; [Am. 150]

c)  partage des informations avec d'autres autorités de contrôle, leur fournit une assistance mutuelle et veille à la cohérence de l’application du présent règlement et des mesures prises pour en assurer le respect;

d)  effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou de la réception d'informations spécifiques et documentées alléguant d’un traitement illicite ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable; [Am. 151]

e)  surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications et celle des pratiques commerciales;

f)  est consultée par les institutions et organes de l’État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;

g)  autorise les traitements prévus à l’article 34 et est consultée au sujet des traitements visés à l’article 34;

h)  émet un avis sur les projets de codes de conduite prévus à l'article 38, paragraphe 2;

i)  approuve les règles d'entreprise contraignantes conformément à l'article 43;

j)  participe aux activités du comité européen de la protection des données.

j bis)  certifie les responsables du traitement et les sous-traitants, en vertu de l’article 39. [Am. 152]

2.  Chaque autorité de contrôle encourage la sensibilisation du public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel, ainsi qu'aux mesures appropriées de protection des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière. [Am. 153]

2 bis.  Chaque autorité de contrôle encourage, en collaboration avec le comité européen de la protection des données, la sensibilisation des responsables du traitement et des sous‑traitants aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Cela inclut la tenue d'un registre des sanctions et des violations. Ce registre devrait reprendre de la manière la plus détaillée possible tant l'ensemble des avertissements et sanctions que la résolution des violations. Chaque autorité de contrôle fournit aux responsables du traitement et aux sous‑traitants des micro, petites et moyennes entreprises, sur demande, des informations générales concernant leurs responsabilités et obligations en vertu du présent règlement. [Am. 154]

3.  L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.

4.  Pour les réclamations visées au paragraphe 1, point b), l’autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.

5.  L'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.

6.  Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables ou ne pas prendre les mesures sollicitées par la personne concernée. Ces frais ne dépassent pas les coûts de mise en œuvre de l'action requise. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande. [Am. 155]

Article 53

Pouvoirs

1.  Chaque autorité de contrôle a, conformément au présent règlement, le pouvoir:

a)  d'informer le responsable du traitement ou le sous‑traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous‑traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée, ou d’ordonner au responsable du traitement de communiquer la violation de données à caractère personnel à la personne concernée;

b)  d'ordonner au responsable du traitement ou au sous‑traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée;

c)  d'ordonner au responsable du traitement et au sous‑traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions;

d)  de veiller au respect des autorisations et consultations préalables prévues à l’article 34;

e)  d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous‑traitant;

f)  d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

g)  d'interdire temporairement ou définitivement un traitement;

h)  de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

i)  d'émettre des avis sur toute question relative à la protection des données à caractère personnel;

i bis)  de certifier les responsables du traitement et les sous-traitants, en vertu de l’article 39;

j)  d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel ;

j bis)  de mettre en place des mécanismes efficaces favorisant la notification confidentielle des cas d'infraction au présent règlement, en tenant compte des orientations formulées par le comité européen de la protection des données en vertu de l'article 66, paragraphe 4 ter.

2.  Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous‑traitant sans notification préalable:

a)  l'accès à toutes les données à caractère personnel et à tous les documents et toutes les informations nécessaires à l'exercice de ses fonctions;

b)  l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement, s'il existe un motif raisonnable de supposer qu’il s'y exerce une activité contraire au présent règlement.

Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres.

3.  Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment en vertu de l'article 74, paragraphe 4, et de l'article 75, paragraphe 2.

4.  Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées conformément à l’article 79, paragraphes 4, 5 et 6. Ce pouvoir est exercé de manière effective, proportionnée et dissuasive. [Am. 156]

Article 54

Rapport d'activité

Chaque autorité de contrôle doit établir, au moins une fois tous les deux ans, un rapport annuel sur ses activités. Le rapport est présenté au parlement national concernéet est mis à la disposition du public, de la Commission et du comité européen de la protection des données. [Am. 157]

Article 54 bis

Autorité chef de file

1.  Lorsque le traitement de données à caractère personnel a lieu dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, ou lorsque des données à caractère personnel de résidents de différents États membres font l’objet de traitements, l’autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est l'autorité chef de file responsable du contrôle des activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, conformément aux dispositions du chapitre VII du présent règlement.

2.  L'autorité chef de file ne prend les mesures qui s'imposent aux fins du contrôle des activités de traitement du responsable du traitement ou du sous-traitant dont elle est responsable qu'après consultation de toutes les autres autorités de contrôle compétentes au sens de l'article 51, paragraphe 1, en vue de parvenir à un consensus. À cette fin, l'autorité chef de file transmet toutes les informations pertinentes et consulte les autres autorités avant d'adopter toute mesure destinée à produire des effets juridiques vis à vis d'un responsable du traitement ou d'un sous-traitant au sens de l'article 51, paragraphe 1. L'autorité chef de file tient le plus grand compte des avis des autorités concernées. L'autorité chef de file est la seule autorité habilitée à prendre des décisions concernant les mesures destinées à produire des effets juridiques vis à vis des activités de traitement du responsable du traitement ou du sous-traitant dont elle est responsable.

3.  Le comité européen de la protection des données émet, à la demande d'une autorité de contrôle compétente, un avis sur l'identification de l'autorité chef de file responsable d'un responsable du traitement ou d'un sous-traitant dans les cas suivants:

a)  les éléments du dossier ne permettent pas de déterminer clairement le lieu où se situe l'établissement principal du responsable du traitement ou du sous-traitant; ou

b)  les autorités compétentes ne s'accordent pas sur le choix d'une autorité de contrôle comme autorité chef de file; ou

c)  le responsable du traitement n'est pas établi dans l'Union et des résidents de différents États membres sont concernés par les opérations de traitement dans le cadre du champ d'application du présent règlement.

3 bis.  Lorsque le responsable du traitement exerce également des activités en tant que sous-traitant, l'autorité de contrôle du lieu où se situe l'établissement principal du responsable du traitement joue le rôle d'autorité chef de file pour le contrôle des activités de traitement.

4.  Le comité européen de la protection des données peut décider de l'identification de l'autorité chef de file. [Am. 158]

CHAPITRE VII

COOPÉRATION ET COHÉRENCE

SECTION 1

COOPÉRATION

Article 55

Assistance mutuelle

1.  Les autorités de contrôle se communiquent toute information utile et se prêtent une assistance mutuelle en vue de mettre en œuvre et d'appliquer le présent règlement de manière cohérente, et mettent en place des mesures pour coopérer efficacement entre elles. L'assistance mutuelle couvre notamment des demandes d'information et des mesures de contrôle, telles que les demandes d'autorisation et de consultation préalables, les inspections et les enquêtes, et la communication rapide d'informations sur l'ouverture de dossiers et sur leur évolution lorsque le responsable du traitement ou le sous-traitant possède des établissements dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements. L’autorité chef de file définie à l’article 54 bis assure la coordination avec les autorités compétentes impliquées et fait office de point de contact unique pour le responsable du traitement ou le sous‑traitant. [Am. 159]

2.  Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à la demande d’une autre autorité de contrôle, sans délai et au plus tard un mois après la réception de la demande. Il peut s'agir, notamment, de la transmission d'informations utiles sur le déroulement d'une enquête ou de mesures répressives visant à faire cesser ou à interdire les traitements contraires au présent règlement.

3.  La demande d'assistance contient toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu'aux fins pour lesquelles elles ont été demandées.

4.  Une autorité de contrôle saisie d'une demande d'assistance ne peut refuser de lui donner suite, à moins:

a)  qu'elle ne soit pas compétente pour la traiter; ou

b)  qu’il soit incompatible avec les dispositions du présent règlement de donner suite à la demande.

5.  L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l'avancement du dossier ou des mesures prises pour donner suite à la demande de l’autorité de contrôle requérante.

6.  Les autorités de contrôle communiquent, par voie électronique et dans les plus brefs délais, au moyen d'un formulaire type, les informations demandées par d'autres autorités de contrôle.

7.  Une mesure prise à la suite d'une demande d'assistance mutuelle ne donne pas lieu à la perception de frais à charge de l’autorité de contrôle requérante. [Am. 160]

8.  Lorsqu'une autorité de contrôle ne donne pas suite, dans un délai d’un mois, à la demande d'une autre autorité de contrôle, l'autorité de contrôle requérante a compétence pour adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l'article 51, paragraphe 1, et saisit le comité européen de la protection des données de l'affaire conformément à la procédure prévue à l'article 57. Elle peut adopter des mesures provisoires au titre de l'article 53 sur le territoire de l'État membre dont elle relève lorsqu'il n'est pas encore possible d'adopter une mesure définitive parce que la demande d'assistance n'a pas encore été acceptée. [Am. 161]

9.  L'autorité de contrôle précise la durée de validité de la mesure provisoire ainsi adoptée. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission, conformément à la procédure visée à l'article 57. [Am. 162]

10.  La CommissionLe comité européen de la protection des données peut préciser la forme et les procédures de l'assistance mutuelle visée au présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre autorités de contrôle, et entre les autorités de contrôle et le comité européen de la protection des données, notamment le formulaire type mentionné au paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2. [Am. 163]

Article 56

Opérations conjointes des autorités de contrôle

1.  Afin d'intensifier la coopération et l'assistance mutuelle, les autorités de contrôle mettent en œuvre des missions d'enquête conjointes, des mesures répressives conjointes et d'autres opérations conjointes auxquelles participent des membres ou des agents des autorités de contrôle d'autres États membres, désignés par celles-ci.

2.  Dans les cas où le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres ou lorsque des personnes concernées dans plusieurs autres États membres sont susceptibles de faire l'objet de traitements, une autorité de contrôle de chacun des États membres en cause a le droit de participer aux missions d'enquête conjointes ou aux opérations conjointes, selon le cas. L'autorité de contrôle compétente invite chef de file définie à l'article 54 bis associe l'autorité de contrôle de chacun de ces États membres à prendre part aux missions d'enquête conjointes ou aux opérations conjointes en cause et donne suite sans délai à toute demande d’une autorité de contrôle souhaitant participer aux opérations. L’autorité chef de file fait office de point de contact unique pour le responsable du traitement ou le sous-traitant. [Am. 164]

3.  En tant qu'autorité de contrôle de l'État membre d'accueil, chaque autorité de contrôle peut, conformément à son droit national et avec l'accord de l’autorité de contrôle de l'État membre d'origine, confier des compétences de puissance publique, notamment des missions d'enquête, aux membres ou aux agents de l’autorité de contrôle de l'État membre d'origine participant à des opérations conjointes ou autoriser, pour autant que le droit dont relève l'autorité de contrôle de l'État membre d'accueil le permette, les membres ou les agents de l'autorité de contrôle de l'État membre d'origine à exercer leurs compétences de puissance publique conformément au droit dont relève l'autorité de contrôle de l'État membre d'origine. Ces compétences de puissance publique ne peuvent être exercées que sous l'autorité et, en règle générale, en présence de membres ou d'agents de l'autorité de contrôle de l'État membre d'accueil. Les membres ou agents de l'autorité de contrôle de l'État membre d'origine sont soumis au droit national de l'autorité de contrôle de l'État membre d'accueil. L'autorité de contrôle de l'État membre d'accueil assume la responsabilité de leurs actions.

4.  Les autorités de contrôle définissent les modalités pratiques des actions de coopération particulières.

5.  Lorsqu'une autorité de contrôle ne se conforme pas, dans un délai d’un mois, à l’obligation énoncée au paragraphe 2, les autres autorités de contrôle ont compétence pour prendre une mesure provisoire sur le territoire de leur État membre, conformément à l'article 51, paragraphe 1.

6.  L'autorité de contrôle précise la durée de validité de toute mesure provisoire prévue au paragraphe 5. Cette durée ne peut excéder trois mois. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission, et fait examiner l'affaire dans le cadre du mécanisme prévu à l’article 57.

SECTION 2

COHÉRENCE

Article 57

Mécanisme de contrôle de la cohérence

Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans, tant sur des questions d’application générale que dans des cas particuliers, conformément aux dispositions de la présente section. [Am. 165]

Article 58

Avis du comité européen de la protection des données Cohérence sur des questions d'application générale

1.  Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission.

2.  L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui:

a)  se rapporte aux traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l’observation de leur comportement; ou

b)  est susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union; ou

c)  vise à l'adoption d'une liste des traitements devant faire l'objet d'une consultation préalable conformément à l’article 34, paragraphe 5, ou

d)  vise à la détermination de clauses types de protection des données visées à l'article 42, paragraphe 2, point c), ou

e)  vise à l'autorisation de clauses contractuelles visées à l'article 42, paragraphe 2, point d), ou

f)  vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43.

3.  Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question d'application générale soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle conformément à l'article 55 ou aux opérations conjointes conformément à l'article 56.

4.  En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question d'application générale soit examinée dans le cadre du mécanisme de contrôle de la cohérence.

5.  Les autorités de contrôle et la Commission communiquent, par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure.

6.  Le président du comité européen de la protection des données transmet sans délai retard injustifié aux membres du comité européen de la protection des données et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le président secrétariat du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles.

6 bis.  Le comité européen de la protection des données adopte un avis sur les questions qui lui sont soumises au titre du paragraphe 2.

7.  Si ses membres en décident ainsi à la majorité simple, ou à la demande de toute autorité de contrôle ou de la Commission, leLe comité européen de la protection des données émet peut décider à la majorité simple d'adopter un avis sur l'affaire dans un délai d'une semaine après la communication des informations utiles conformément au paragraphe 5. L'avis est adopté dans un délai d’un mois à la majorité simple des membres du comité européen de la protection des données. Le président du comité européen de la protection des données informe sans retard indu l’autorité de contrôle visée, selon le cas, au paragraphe 1 ou au paragraphe 3, la Commission et l'autorité de contrôle compétente en vertu de l'article 51 de l'avis et le publie. toute question qui lui est soumise au titre des paragraphes 3 et 4 en tenant compte des éléments suivants:

a)  le caractère novateur de certains éléments de la question, compte étant tenu des évolutions juridiques et factuelles, en particulier dans le domaine des technologies de l'information et à la lumière des progrès de la société de l'information; et

b)  l'existence d'un avis déjà émis par le comité européen de la protection des données sur la même question.

8.  L’autorité de contrôle visée au paragraphe 1 et l'autorité de contrôle compétente en vertu de l'article 51 tiennent compte de l'avis du comité européen de la protection des données et communiquent par voie électronique au président du conseil européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elles maintiennent ou modifient le projet de mesure, et, le cas échéant, communiquent le projet de mesure modifié, au moyen d'un formulaire type. Le comité européen de la protection des données adopte des avis en application des paragraphes 6 bis et 7 à la majorité simple de ses membres. Ces avis sont rendus publics. [Am. 166]

Article 58 bis

Cohérence dans des cas particuliers

1.  Avant d'adopter toute mesure destinée à produire des effets juridiques au sens de l'article 54 bis, l'autorité chef de file partage toutes informations utiles et soumet le projet de mesure à l'ensemble des autres autorités compétentes. Si dans un délai de trois semaines, une autorité compétente a fait savoir qu'elle avait des objections majeures à la mesure concernée, l'autorité chef de file ne l'adopte pas.

2.  Lorsqu'une autorité compétente a indiqué avoir des objections majeures au projet de mesure de l'autorité chef de file, ou lorsque l'autorité chef de file omet de soumettre pour examen un projet de mesure visé au paragraphe 1 ou ne respecte pas les obligations relatives à l'assistance mutuelle conformément à l'article 55 ou aux opérations conjointes conformément à l'article 56, la question est examinée par le comité européen de la protection des données.

3.  L'autorité chef de file et/ou toute autre autorité compétente concernée ainsi que la Commission communiquent au comité européen de la protection des données, par voie électronique et sans retard injustifié, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure, les motifs rendant nécessaire l'adoption de la mesure, les objections qu'elle suscite et les avis des autres autorités de contrôle concernées.

4.  Le comité européen de la protection des données examine la question, en tenant compte des incidences du projet de mesure de l'autorité chef de file sur les droits et les libertés fondamentaux des personnes concernées, et décide à la majorité simple de ses membres d'émettre ou non un avis en la matière dans un délai de deux semaines après la réception des informations utiles fournies conformément au paragraphe 3.

5.  Si le comité européen de la protection des données décide d'émettre un avis, il dispose à cette fin d'un délai de six semaines et rend cet avis public.

6.  L'autorité chef de file tient le plus grand compte de l'avis du comité européen de la protection des données et communique, par voie électronique, au président du comité européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elle maintient ou modifie le projet de mesure, et, le cas échéant, communique le projet de mesure modifié, au moyen d'un formulaire type. Lorsque l'autorité chef de file n'entend pas se conformer à l'avis du comité européen de la protection des données, elle fournit une justification motivée.

7.  Si le comité européen de la protection des données s'oppose toujours à la mesure de l'autorité de contrôle visée au paragraphe 5, il peut adopter, dans un délai d'un mois et à une majorité des deux tiers, une mesure qui est contraignante pour l'autorité de contrôle. [Am. 167]

Article 59

Avis de la Commission

1.  Dans un délai de dix semaines à compter de la date à laquelle une question a été soulevée conformément à l’article 58, ou au plus tard dans un délai de six semaines dans le cas visé à l'article 61, la Commission peut, afin d’assurer l’application correcte et cohérente du présent règlement, adopter un avis sur les questions soulevées conformément aux articles 58 ou 61.

2.  Lorsque la Commission a adopté un avis en vertu du paragraphe 1, l'autorité de contrôle concernée tient le plus grand compte de l’avis de la Commission et indique à la Commission et au comité européen de la protection des données si elle entend maintenir ou modifier son projet de mesure.

3.  Pendant le délai visé au paragraphe 1, l’autorité de contrôle s'abstient d'adopter le projet de mesure.

4.  Lorsque l'autorité de contrôle concernée n'entend pas se conformer à l'avis de la Commission, elle en informe la Commission et le comité européen de la protection des données dans le délai visé au paragraphe 1 et motive sa décision. Dans cette éventualité, l'autorité de contrôle s'abstient d'adopter le projet de mesure pendant un délai supplémentaire d’un mois. [Am. 168]

Article 60

Suspension d’un projet de mesure

1.  Dans un délai d'un mois à compter de la communication prévue à l’article 59, paragraphe 4, et lorsque la Commission nourrit des doutes sérieux quant à savoir si le projet de mesure permet de garantir la bonne application du présent règlement ou s'il est susceptible, au contraire, d'aboutir à une application non cohérente de celui-ci, la Commission, en tenant compte de l'avis formulé par le comité européen de la protection des données conformément à l'article 58, paragraphe 7, ou à l'article 61, paragraphe 2, peut adopter une décision motivée enjoignant à l'autorité de contrôle de suspendre l'adoption du projet de mesure lorsqu'une telle suspension apparaît requise pour:

a)  rapprocher les positions divergentes de l'autorité de contrôle et du comité européen de la protection des données, si un tel rapprochement apparaît encore possible; ou

b)  adopter une mesure en vertu de l'article 62, paragraphe 1, point a).

2.  La Commission précise la durée de la suspension, qui ne peut excéder douze mois.

3.  Pendant le délai visé au paragraphe 2, l'autorité de contrôle ne peut pas adopter le projet de mesure. [Am. 169]

Article 60 bis

Information du Parlement européen et du Conseil

Sur la base d’un rapport du président du comité européen de la protection des données, la Commission informe régulièrement le Parlement européen et le Conseil, au moins une fois tous les six mois, des questions traitées dans le cadre du mécanisme de contrôle de la cohérence et fait part des conclusions de la Commission et du comité européen de la protection des données en vue de garantir l’exécution et l’application cohérente du présent règlement. [Am. 170]

Article 61

Procédure d’urgence

1.  Dans des circonstances exceptionnelles, lorsqu'une autorité de contrôle considère qu'il est urgent d'intervenir pour protéger les intérêts de personnes concernées, notamment lorsque le risque existe que l'exercice effectif du droit d'une personne concernée soit considérablement entravé par une modification de la situation existante, pour éviter des inconvénients majeurs ou pour d'autres raisons, elle peut, par dérogation à la procédure prévue à l'article 58 bis, adopter sans délai des mesures provisoires ayant une durée de validité déterminée. L'autorité de contrôle communique sans délai ces mesures, dûment motivées, au comité européen de la protection des données et à la Commission. [Am. 171]

2.  Lorsqu'une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d'urgence, elle peut demander un avis d'urgence au comité européen de la protection des données, en motivant sa demande, et notamment l'urgence d'adopter des mesures définitives.

3.  Toute autorité de contrôle peut, en motivant sa demande, et notamment l'urgence d'intervenir, demander un avis d'urgence lorsque l'autorité de contrôle compétente n'a pas pris de mesure appropriée dans une situation où il est urgent d'intervenir afin de protéger les intérêts de personnes concernées.

4.  Par dérogation à l'article 58, paragraphe 7, unL’avis d'urgence visé aux paragraphes 2 et 3 du présent article est adopté dans un délai de deux semaines à la majorité simple des membres du comité européen de la protection des données. [Am. 172]

Article 62

Actes d'exécution

1.  La Commission peut adopter des actes d'exécution d'application générale, après avoir demandé l’avis du comité européen de la protection des données, pour:

a)  statuer sur l'application correcte du présent règlement conformément à ses objectifs et exigences quant aux questions soulevées par les autorités de contrôle conformément à l'article 58 ou à l'article 61, quant à une question au sujet de laquelle une décision motivée a été adoptée en vertu de l'article 60, paragraphe 1, ou quant à une affaire dans laquelle une autorité de contrôle omet de soumettre pour examen un projet de mesure et a indiqué qu'elle n'entendait pas se conformer à l'avis de la Commission adopté en vertu de l'article 59;

b)  statuer, dans le délai fixé à l’article 59, paragraphe 1, sur l'applicabilité générale de projets de clauses types de protection des données visées à l’article 58 42, paragraphe 2, point d);

c)  définir la forme et les procédures d’application du mécanisme de contrôle de la cohérence prévu par la présente section;

d)  définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre lesdites autorités et le comité européen de la protection des données, notamment le formulaire type visé à l'article 58, paragraphes 5, 6 et 8.

Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

2.  Pour des raisons impérieuses d’urgence dûment justifiées, tenant aux intérêts de personnes concernées dans les cas visés au paragraphe 1, point a), la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 87, paragraphe 3. Ces actes restent en vigueur pendant une période n'excédant pas douze mois.

3.  L'absence ou l'adoption d'une mesure au titre de la présente section est sans préjudice de toute autre mesure adoptée par la Commission en vertu des traités. [Am. 173]

Article 63

Mise à exécution

1.  Aux fins de l'application du présent règlement, toute mesure exécutoire de l'autorité de contrôle d'un État membre est mise à exécution dans tous les États membres concernés.

2.  Lorsqu'une autorité de contrôle omet de soumettre un projet de mesure pour examen dans le cadre du mécanisme de contrôle de la cohérence en violation de l'article 58, paragraphes 1 à 5, et 2 ou adopte une mesure malgré la notification d'objections majeures en vertu de l'article 58 bis, paragraphe 1, la mesure de l'autorité de contrôle est dénuée de validité juridique et de caractère exécutoire. [Am. 174]

SECTION 3

Comité européen de la protection des données

Article 64

Comité européen de la protection des données

1.  Il est institué un comité européen de la protection des données.

2.  Le comité européen de la protection des données se compose du directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données.

3.  Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l'application des dispositions du présent règlement, celles-ci désignent le directeur de l'une d'entre elles comme représentant commun.

4.  La Commission a le droit de participer aux activités et réunions du comité européen de la protection des données et désigne un représentant. Le président du comité européen de la protection des données informe sans délai la Commission de toutes les activités du comité européen de la protection des données.

Article 65

Indépendance

1.  Le comité européen de la protection des données exerce en toute indépendance les missions qui lui sont confiées conformément aux articles 66 et 67.

2.  Sans préjudice des demandes de la Commission visées à l'article 66, paragraphe 1, point b), et paragraphe 2, le comité européen de la protection des données ne sollicite ni n'accepte d'instructions de quiconque dans l'accomplissement de ses missions.

Article 66

Missions du comité européen de la protection des données

1.  Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande du Parlement européen, du Conseil ou de la Commission, a notamment pour mission:

a)  de conseiller la Commission les institutions européennes sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement;

b)  d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande du Parlement européen, du Conseil ou de la Commission, toute question portant sur l'application du présent règlement, et de formuler des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement, y compris sur l’usage des pouvoirs d’exécution;

c)  de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures;

d)  d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57;

d bis)  d’émettre un avis sur la question de savoir quelle autorité devrait être l’autorité chef de file, en vertu de l’article 54 bis, paragraphe 3;

e)  de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle, y compris la coordination d'opérations conjointes et d'autres activités conjointes, lorsqu'il en décide ainsi à la demande d'une ou plusieurs autorités de contrôle;

f)  de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

g)  de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

g bis)  de donner son avis à la Commission lors de la préparation des actes délégués et des actes d’exécution fondés sur le présent règlement;

g ter)  d’émettre un avis sur les codes de conduites élaborés au niveau de l’Union en application de l'article 38, paragraphe 4;

g quater)  de donner son avis sur les critères et les exigences applicables aux mécanismes de certification en matière de protection des données en vertu de l'article 39, paragraphe 2;

g quinquies)  de tenir un registre électronique public des certificats valides et invalides en vertu de l'article 39, paragraphe 1 nonies;

g sexies)  de prêter une assistance aux autorités nationales de contrôle, si elles en font la demande;

g septies)  d'établir et de rendre publique une liste des opérations de traitement devant faire l’objet d’une consultation préalable au titre de l'article 34;

g octies)  de tenir un registre des sanctions imposées aux responsables du traitement et aux sous-traitants par les autorités de contrôle compétentes.

2.  Lorsque le Parlement européen, le Conseil ou la Commission consulte consultent le comité européen de la protection des données, elle peut ils peuvent fixer un délai dans lequel il doit lui leur fournir les conseils demandés, selon l'urgence de la question.

3.  Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques au Parlement européen, au Conseil, à la Commission et au comité visé à l’article 87, et les rend publics.

4.  La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques formulés par ledit comité.

4 bis.  Le comité européen de la protection des données consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 72.

4 ter.  Le comité européen de la protection des données est chargé de formuler des lignes directrices, des recommandations et des bonnes pratiques conformément au paragraphe 1, point b), aux fins d'établir des procédures communes pour la collecte et l’examen des informations concernant des allégations de traitement illicite ainsi que de préserver la confidentialité et les sources des informations reçues. [Am. 175]

Article 67

Rapports

1.  Le comité européen de la protection des données informe le Parlement européen, le Conseil et la Commission, régulièrement et en temps utile, des résultats de ses activités. Il établit un rapport annuel au moins tous les deux ans sur l'état de la situation en matière de protection des personnes physiques à l'égard du traitement des données à caractère personnel dans l'Union et dans les pays tiers.

Le rapport présente notamment le bilan de l'application pratique des lignes directrices, des recommandations et des bonnes pratiques visées à l'article 66, paragraphe 1, point c). [Am. 176]

2.  Le rapport est rendu public et communiqué au Parlement européen, au Conseil et à la Commission.

Article 68

Procédure

1.  Le comité européen de la protection des données prend ses décisions à la majorité simple de ses membres, sauf disposition contraire de son règlement intérieur. [Am. 177]

2.  Le comité européen de la protection des données établit son règlement intérieur et détermine ses modalités de fonctionnement. Il adopte notamment des dispositions relatives à la poursuite de l'exercice des fonctions lorsque le mandat d’un membre expire ou en cas de démission d’un membre, à la création de sous-groupes sur des sujets ou pour des secteurs spécifiques et aux procédures qu'il applique en ce qui concerne le mécanisme de contrôle de la cohérence visé à l'article 57.

Article 69

Présidence

1.  Le comité européen de la protection des données élit son président et au minimum deux vice-présidents en son sein. L'un des vice‑présidents est le contrôleur européen de la protection des données, à moins qu'il ait été élu président. [Am. 178]

2.  Le président et les vice‑présidents sont élus pour un mandat de cinq ans renouvelable.

2 bis.  La fonction de président est une fonction à temps plein. [Am. 179]

Article 70

Missions du président

1.  Le président a pour mission:

a)  de convoquer les réunions du comité européen de la protection des données et d'établir son ordre du jour;

b)  de veiller à l’exécution, dans les délais, des missions du comité européen de la protection des données, notamment en ce qui concerne le mécanisme de contrôle de la cohérence prévu à l'article 57.

2.  Le comité européen de la protection des données fixe dans son règlement intérieur la répartition des tâches entre le président et les vice-présidents.

Article 71

Secrétariat

1.  Le comité européen de la protection des données dispose d'un secrétariat. Celui-ci est assuré par le contrôleur européen de la protection des données.

2.  Le secrétariat fournit, sous la direction du président, un soutien analytique, juridique, administratif et logistique au comité européen de la protection des données. [Am. 180]

3.  Le secrétariat est notamment chargé:

a)  de la gestion courante du comité européen de la protection des données;

b)  de la communication entre les membres du comité européen de la protection des données, son président et la Commission, et de la communication avec d'autres institutions et le public;

c)  du recours à des moyens électroniques pour la communication interne et externe;

d)  de la traduction des informations utiles;

e)  de la préparation et du suivi des réunions du comité européen de la protection des données;

f)  de la préparation, de la rédaction et de la publication d'avis et d'autres textes adoptés par le comité européen de la protection des données.

Article 72

Confidentialité

1.  Les débats du comité européen de la protection des données sont peuvent être confidentiels lorsque cela est nécessaire, sauf disposition contraire de son règlement intérieur. Les calendriers des réunions du comité européen de la protection des données sont rendus publics. [Am. 181]

2.  Les documents présentés aux membres du comité européen de la protection des données, aux experts et aux représentants de tierces parties sont confidentiels, sauf si l'accès à ces documents est accordé conformément au règlement (CE) n° 1049/2001 du Parlement européen et du Conseil(19) ou si le comité européen de la protection des données les rend publics de toute autre manière.

3.  Les membres du comité européen de la protection des données, ainsi que les experts et les représentants de tierces parties, sont tenus de respecter les obligations de confidentialité établies au présent article. Le président veille à ce que les experts et les représentants de tierces parties aient connaissance des exigences qu’ils sont tenus de respecter en matière de confidentialité.

CHAPITRE VIII

RECOURS, RESPONSABILITÉ ET SANCTIONS

Article 73

Droit d’introduire une réclamation auprès d'une autorité de contrôle

1.  Sans préjudice de tout autre recours administratif ou judiciaire et du mécanisme de contrôle de la cohérence, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement.

2.  Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel agit dans l'intérêt public et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel.

3.  Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation de données à caractère personnel du présent règlement. [Am. 182]

Article 74

Droit à un recours juridictionnel contre une autorité de contrôle

1.  Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel contre les décisions d'une autorité de contrôle qui la concernent.

2.  Sans préjudice de tout recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel en vue d’obliger l'autorité de contrôle à donner suite à une réclamation, en l'absence d'une décision nécessaire pour protéger ses droits ou lorsque l’autorité de contrôle n’informe pas la personne concernée, dans un délai de trois mois, de l'état d'avancement ou de l'issue de sa réclamation conformément à l'article 52, paragraphe 1, point b).

3.  Les actions contre une autorité de contrôle sont intentées devant les juridictions de l’État membre sur le territoire duquel l'autorité de contrôle est établie.

4.  Sans préjudice du mécanisme de contrôle de la cohérence, toute personne concernée affectée par une décision d'une autorité de contrôle d'un État membre autre que celui dans lequel elle a sa résidence habituelle peut demander à l'autorité de contrôle de l'État membre dans lequel elle a sa résidence habituelle d'intenter une action en son nom contre l'autorité de contrôle compétente de l'autre État membre.

5.  Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article. [Am. 183]

Article 75

Droit à un recours juridictionnel contre un responsable du traitement ou un sous‑traitant

1.  Sans préjudice de tout recours administratif qui lui est ouvert, notamment le droit prévu à l’article 73 de saisir une autorité de contrôle d'une réclamation, toute personne physique dispose d'un recours juridictionnel si elle considère qu’il a été porté atteinte aux droits que lui confère le présent règlement, à la suite du traitement de données à caractère personnel la concernant, effectué en violation du présent règlement.

2.  Une action contre un responsable du traitement ou un sous‑traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous‑traitant dispose d'un établissement. Une telle action peut aussi être intentée devant les juridictions de l'État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement est une autorité publique de l'Union ou d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique. [Am. 184]

3.  Lorsqu'une procédure qui concerne la même mesure, décision ou pratique est en cours dans le cadre du mécanisme de contrôle de la cohérence prévu à l’article 58, une juridiction peut surseoir à statuer dans le litige dont elle est saisie, sauf si l'urgence de l'affaire pour la protection des droits de la personne concernée ne permet pas d'attendre l'issue de la procédure en cours dans le cadre du mécanisme de contrôle de la cohérence.

4.  Les États membres mettent à exécution les décisions définitives des juridictions visées au présent article.

Article 76

Règles communes pour les procédures juridictionnelles

1.  Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et, 75 au nom d’ et 77 s'il est mandaté par une ou de plusieurs personnes concernées. [Am. 185]

2.  Chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions du présent règlement ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l’Union.

3.  Lorsqu'une juridiction compétente d’un État membre a des motifs raisonnables de croire qu'une procédure parallèle est en cours dans un autre État membre, elle prend contact avec la juridiction compétente de cet autre État membre pour obtenir confirmation de l’existence de cette procédure parallèle.

4.  Lorsqu'une procédure parallèle dans un autre État membre porte sur la même mesure, décision ou pratique, la juridiction peut surseoir à statuer.

5.  Les États membres veillent à ce que les voies de recours disponibles dans le droit national permettent l'adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés.

Article 77

Droit à réparation et responsabilité

1.  Toute personne ayant subi un dommage, y compris un dommage non pécuniaire, du fait d'un traitement illicite ou de toute action incompatible avec le présent règlement a le droit d'obtenir d'exiger du responsable du traitement ou du sous‑traitant réparation du préjudice subi. [Am. 186]

2.  Lorsque plusieurs responsables du traitement ou sous‑traitants ont participé au traitement, chacun d'entre eux de ces responsables du traitement ou sous-traitants est solidairement responsable de la totalité du montant du dommage, à moins qu’ils ne disposent d’un accord écrit approprié déterminant les responsabilités conformément à l'article 24. [Am. 187]

3.  Le responsable du traitement ou le sous‑traitant peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 78

Sanctions pénales

1.  Les États membres prévoient les sanctions pénales applicables aux violations des dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir leur application, y compris lorsque le responsable du traitement n’a pas respecté l’obligation de désigner un représentant. Les sanctions pénales ainsi prévues doivent être effectives, proportionnées et dissuasives.

2.  Lorsque le responsable du traitement a désigné un représentant, les sanctions sont appliquées au représentant, sans préjudice de toute procédure de sanction susceptible d'être engagée contre le responsable du traitement.

3.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Article 79

Sanctions administratives

1.  Chaque autorité de contrôle est habilitée à infliger des sanctions administratives conformément au présent article. Les autorités de contrôle doivent coopérer, conformément aux articles 46 et 57, afin de garantir une harmonisation des niveaux de sanctions au sein de l’Union.

2.  Dans chaque cas, la sanction administrative doit être effective, proportionnée et dissuasive. Le montant de l'amende administrative est fixé en tenant dûment compte de la nature, de la gravité et de la durée de la violation, du fait que l'infraction a été commise de propos délibéré ou par négligence, du degré de responsabilité de la personne physique ou morale en cause et de violations antérieurement commises par elle, des mesures et procédures techniques et d'organisation mises en œuvre conformément à l'article 23 et du degré de coopération avec l’autorité de contrôle en vue de remédier à la violation.

2 bis.  L’autorité de contrôle inflige à toute personne qui ne respecte pas les obligations énoncées dans le présent règlement l’une au moins des sanctions suivantes:

a)  un avertissement par écrit lors d’un premier manquement non intentionnel;

b)  des vérifications périodiques régulières de la protection des données;

c)  une amende pouvant atteindre 100 000 000 EUR ou au maximum 5 % du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu.

2 ter.  Si le responsable du traitement ou le sous-traitant est détenteur d’un "label européen de protection des données" valable, conformément à l’article 39, l’amende prévue au point c) du paragraphe 2 bis) est exclusivement appliquée dans les cas de manquement intentionnel ou par négligence.

2 quater.  La sanction administrative tient compte des facteurs suivants:

a)  la nature, la gravité et la durée du manquement;

b)  du fait que l'infraction a été commise intentionnellement ou par négligence;

c)  le degré de responsabilité de la personne physique ou morale et les violations antérieurement commises par elle;

d)  le caractère répétitif de l'infraction;

e)  le degré de coopération avec l’autorité de contrôle en vue de remédier à la violation et d'atténuer les éventuels effets négatifs de l'infraction;

f)  les catégories particulières de données à caractère personnel affectées par l'infraction;

g)  la gravité du dommage, y compris du dommage non pécunaire, subi par les personnes concernées;

h)  les mesures prises par le responsable du traitement ou le sous-traitant pour atténuer le préjudice subi par les personnes concernées;

i)  tous les avantages financiers escomptés ou perçus, ou toutes les pertes évitées, imputables directement ou indirectement à l'infraction;

j)  le niveau des mesures et procédures techniques et organisationnelles mises en œuvre conformément à:

i)  l’article 23 – Protection des données dès la conception et protection des données par défaut;,

ii)  l'article 30 – Sécurité des traitements;

iii)  l’article 33 – Analyse d’impact relative à la protection des données;

iv)  l’article 33 bis – Évaluation de la conformité de la protection des données;

v)  l’article 35 – Désignation du délégué à la protection des données;

k)  le refus de coopérer ou l'obstruction faite au déroulement des inspections, audits et contrôles menés par l'autorité de contrôle conformément à l'article 53;

l)  toute autre circonstance aggravante ou atténuante applicable au cas concerné.

3.  Lors du premier manquement non intentionnel au présent règlement, l'autorité de contrôle peut donner un avertissement par écrit mais n'impose aucune sanction:

a)  lorsqu'une personne physique traite des données à caractère personnel en l'absence de tout intérêt commercial; ou

b)  lorsqu'une entreprise ou un organisme comptant moins de 250 salariés traite des données à caractère personnel uniquement dans le cadre d'une activité qui est accessoire à son activité principale.

4.  L'autorité de contrôle inflige une amende pouvant s'élever à 250 000 EUR ou, dans le cas d'une entreprise, à 0,5 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:

a)  ne prévoit pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas sans tarder ou sous la forme requise aux personnes concernées conformément à l'article 12, paragraphes 1 et 2;

b)  perçoit des frais pour les informations ou pour les réponses aux demandes de personnes concernées en violation de l’article 12, paragraphe 4.

5.  L'autorité de contrôle inflige une amende pouvant s'élever à 500 000 EUR ou, dans le cas d'une entreprise, à 1 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:

a)  ne fournit pas les informations, fournit des informations incomplètes ou ne fournit pas les informations de façon suffisamment transparente à la personne concernée conformément à l'article 11, à l'article 12, paragraphe 3, et à l'article 14;

b)  ne fournit pas un accès à la personne concernée, ne rectifie pas les données à caractère personnel conformément aux articles 15 et 16 ou ne communique pas les informations en cause à un destinataire conformément à l'article 13;

c)  ne respecte pas le droit à l'oubli numérique ou à l'effacement, omet de mettre en place des mécanismes garantissant le respect des délais ou ne prend pas toutes les mesures nécessaires pour informer les tiers qu'une personne concernée demande l’effacement de tout lien vers les données à caractère personnel, ou la copie ou la reproduction de ces données conformément à l'article 17.

d)  omet de fournir une copie des données à caractère personnel sous forme électronique ou fait obstacle à ce que la personne concernée transmette ses données à caractère personnel à une autre application en violation de l’article 18;

e)  omet de définir ou ne définit pas suffisamment les obligations respectives des responsables conjoints du traitement conformément à l'article 24;

f)  ne tient pas, ou pas suffisamment, à jour la documentation conformément à l'article 28, à l'article 31, paragraphe 4, et à l'article 44, paragraphe 3;

g)  ne respecte pas, lorsque des catégories particulières de données ne sont pas concernées, conformément aux articles 80, 82 et 83, les règles en matière de liberté d’expression, les règles sur le traitement de données à caractère personnel en matière d'emploi ou les conditions de traitement à des fins de recherche historique, statistique et scientifique.

6.  L'autorité de contrôle inflige une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d’affaires annuel mondial, à quiconque, de propos délibéré ou par négligence:

a)  traite des données à caractère personnel sans base juridique ou sans base juridique suffisante à cette fin ou ne respecte pas les conditions relatives au consentement conformément aux articles 6, 7 et 8;

b)  traite des catégories particulières de données en violation des articles 9 et 81;

c)  ne respecte pas une opposition ou ne se conforme pas à l'obligation prévue à l’article 19;

d)  ne respecte pas les conditions relatives aux mesures fondées sur le profilage conformément à l'article 20;

e)  omet d'adopter des règles internes ou de mettre en œuvre les mesures requises pour assurer et prouver le respect des obligations énoncées aux articles 22, 23 et 30;

f)  omet de désigner un représentant conformément à l’article 25;

g)  traite des données à caractère personnel ou donne l'instruction d'en effectuer le traitement en violation des obligations, énoncées aux articles 26 et 27, en matière de traitement réalisé pour le compte d'un responsable du traitement;

h)  omet de signaler ou de notifier une violation de données à caractère personnel, ou omet de notifier la violation en temps utile ou de façon complète à l'autorité de contrôle ou à la personne concernée conformément aux articles 31 et 32;

i)  omet d'effectuer une analyse d'impact relative à la protection des données ou traite des données à caractère personnel sans autorisation préalable ou consultation préalable de l'autorité de contrôle conformément aux articles 33 et 34;

j)  omet de désigner un délégué à la protection des données ou de veiller à ce que les conditions pour l'accomplissement de ses missions soient réunies conformément aux articles 35, 36 et 37;

k)  fait un usage abusif d'une marque ou d'un label de protection des données au sens de l'article 39;

l)  effectue ou donne l'instruction d'effectuer, vers un pays tiers ou à une organisation internationale, un transfert de données qui n'est pas autorisé par une décision relative au caractère adéquat du niveau de protection, couvert par des garanties appropriées ou par une dérogation conformément aux articles 40 à 44;

m)  ne respecte pas une injonction, une interdiction temporaire ou définitive de traitement ou la suspension de flux de données par l'autorité de contrôle conformément à l'article 53, paragraphe 1;

n)  ne respecte pas l'obligation de prêter assistance, de répondre ou de fournir des informations utiles à l'autorité de contrôle ou de lui donner accès aux locaux conformément à l'article 28, paragraphe 3, à l'article 29, à l'article 34, paragraphe 6, et à l'article 53, paragraphe 2;

o)  ne respecte pas les règles de protection du secret professionnel conformément à l'article 84.

7.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86 aux fins d'adapter le montant établi en valeur absolue des amendes administratives prévues aux paragraphes 4, 5 et 6 au paragraphe 2 bis, en tenant compte des critères et des facteurs visésau paragraphe 2 aux paragraphes 2 et 2 quater. [Am. 188]

CHAPITRE IX

DISPOSITIONS RELATIVES À DES SITUATIONS PARTICULIÈRES DE TRAITEMENT DES DONNÉES

Article 80

Traitements de données à caractère personnel et liberté d'expression

1.  Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d'expression artistique ou littéraire, des exemptions et dérogations aux dispositions sur les principes généraux figurant au chapitre II, sur les droits de la personne concernée figurant au chapitre III, sur le responsable du traitement et le sous‑traitant figurant au chapitre IV, sur le transfert de données à caractère personnel vers des pays tiers et à des organisations internationales figurant au chapitre V, sur les autorités de contrôle indépendantes figurant au chapitre VI, et sur la coopération et la cohérence figurant au chapitre VII, et sur les situations particulières de traitement de données figurant au présent chapitre, chaque fois que cela est nécessaire, pour concilier le droit à la protection des données à caractère personnel avec les règles régissant la liberté d'expression, conformément à la charte. [Am. 189]

2.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Article 80 bis

Accès aux documents

1.  Les données à caractère personnel contenues dans les documents détenus par une autorité publique ou un organe public peuvent être divulguées par cette autorité ou cet organe conformément au droit de l'Union ou de l'État membre relatif à l'accès du public aux documents officiels qui concilie le droit à la protection des données à caractère personnel et le principe du droit d'accès du public aux documents officiels.

2.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 190]

Article 81

Traitements de données à caractère personnel relatives à la santé

1.  Dans les limites duConformément aux règles établies dans le présent règlement et conformément à l', notamment l’article 9, paragraphe 2, point h), les traitements de données à caractère personnel relatives à la santé doivent être effectués sur la base du droit de l'Union ou du droit d'un État membre qui prévoit des garanties appropriées, cohérentes et spécifiques des intérêts légitimes et droits fondamentaux de la personne concernée, et doivent être dans la mesure où ils sont nécessaires et proportionnés et où leurs effets sont prévisibles par la personne concernée:

a)  aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements ou de la gestion de services de santé et lorsque le traitement de ces données est effectué par un praticien de la santé soumis au secret professionnel, ou par une autre personne également soumise à une obligation de confidentialité équivalente, par le droit d'un État membre ou par des réglementations arrêtées par les autorités nationales compétentes; ou

b)  pour des motifs d'intérêt général dans le domaine de la santé publique, tels que la protection contre les menaces transfrontières graves pour la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité, entre autres pour les médicaments ou les équipements médicaux et lorsque le traitement de ces données est effectué par une personne soumise à une obligation de confidentialité; ou

c)  pour d'autres motifs d'intérêt général dans des domaines tels que la protection sociale, particulièrement afin d'assurer la qualité et la rentabilité en ce qui concerne les procédures utilisées pour régler les demandes de prestations et de services dans le régime d'assurance-maladie et la fourniture des services de santé. Le traitement de données à caractère personnel relatives à la santé pour des motifs d'intérêt public ne devrait pas conduire au traitement de ces données à d'autres fins, à moins que la personne concernée n'ait donné son consentement ou sur la base du droit de l'Union ou d'un État membre.

1 bis.  Lorsqu'il est possible de parvenir aux fins visées aux points a) à c) du paragraphe 1 sans recourir à des données personnelles, ces données ne sont pas utilisées à ces fins, à moins que la personne concernée n’ait donné son consentement ou sur la base du droit d'un État membre.

1 ter.  Lorsque le consentement de la personne concernée est requis pour le traitement de données médicales exclusivement à des fins de recherche scientifique relevant du domaine de la santé publique, le consentement peut être donné pour une ou plusieurs activités de recherche spécifiques et similaires. Néanmoins, la personne concernée peut retirer son consentement à tout moment.

1 quater.  Pour ce qui concerne le consentement à participer à des activités de recherche scientifique dans le cadre d'essais cliniques, les dispositions pertinentes de la directive 2001/20/CE du Parlement européen et du Conseil(20) s'appliquent.

2.  Les traitements de données à caractère personnel relatives à la santé qui sont nécessaires à des fins de recherche historique, statistique ou scientifique, tels que les registres de patients établis pour améliorer les diagnostics, distinguer entre des types de maladies similaires et préparer des études en vue de thérapies sont soumis aux ne sont autorisés qu'avec le consentement de la personne concernée sous réserve des conditions et aux des garanties énoncées à l'article 83.

2 bis.  Le droit des États membres peut prévoir des dérogations à l'exigence de consentement en matière de recherche visée au paragraphe 2 dans les cas où celle-ci sert un intérêt public élevé et ne pourrait être menée d'une autre façon. Les données en question sont anonymisées ou, lorsque cela n'est pas possible aux fins de la recherche, pseudonymisées en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées. Néanmoins, la personne concernée peut exercer son droit d'opposition à tout moment conformément à l'article 19.

3.  La Commission est habilitée à adopter, après avoir demandé l’avis du comité européen de la protection des données, des actes délégués en conformité avec l’article 86, aux fins de préciser davantage d'autres motifs la notion d'intérêt général dans le domaine de la santé publique visée au paragraphe 1, point b), ainsi que les critères et exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1 et d'intérêt public élevé dans le domaine de la recherche visée au paragraphe 2 bis.

3 bis.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 191]

Article 82

TraitementsNormes minimales pour le traitement de données en matière d' dans le cadre des relations de travail

1.  Dans les limitesConformément aux dispositions du présent règlement, et compte tenu du principe de proportionnalité, les États membres peuvent adopter, par voie législative, un régime spécifique pour le traitement des données à caractère personnel des travailleurs en matière d' dans le cadre des relations de travail, aux fins, notamment mais pas uniquement, du recrutement et de la présentation de candidatures à des emplois au sein du groupe d'entreprises, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou et par des conventions collectives, conformément au droit national et à la pratique nationale, de la gestion, de la planification et de l'organisation du travail, de la santé et de la sécurité au travail, aux fins de l’exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail. Les États membres peuvent prévoir des conventions collectives afin de préciser davantage les dispositions du présent article.

1 bis.  La finalité du traitement de telles données doit être liée au motif pour lequel celles-ci ont été recueillies et demeurer dans le cadre des relations de travail. Le profilage ou l'utilisation à des fins secondaires ne sont pas autorisés.

1 ter.  Le consentement d'un travailleur ne constitue pas un fondement juridique pour le traitement de données par l'employeur lorsque ce consentement n'a pas été donné librement.

1 quater.  Nonobstant les autres dispositions du présent règlement, les dispositions nationales adoptées par les États membres visées au paragraphe 1 comportent au moins les normes minimales suivantes:

a)  le traitement des données des travailleurs sans que ceux-ci en aient connaissance n'est pas autorisé. Nonobstant cette première phrase, les États membres peuvent prévoir, par voie législative, en fixant des délais appropriés pour la suppression des données, que le traitement des données est autorisé à condition qu’il existe une suspicion fondée sur des indices concrets, qui doivent être documentés, selon laquelle le travailleur a commis un délit ou a gravement manqué à ses obligations dans le cadre des relations de travail, que la collecte de données est nécessaire pour clarifier la situation, et que la nature et l'étendue de la collecte de données sont nécessaires et proportionnées par rapport à la finalité poursuivie. L’intimité et la vie privée du travailleur sont protégées à tout moment. L'enquête incombe à l'autorité compétente;

b)  la surveillance optique et acoustique ouverte, par des moyens électroniques, des parties de l'entreprise qui ne sont pas accessibles au public et qui sont utilisées par les travailleurs pour des activités relevant de la sphère privée, comme les sanitaires, les vestiaires, les salles de repos et les chambres à coucher, n'est pas autorisée. La surveillance cachée n'est en aucun cas autorisée;

c)  lorsque des entreprises ou des autorités collectent et traitent des données à caractère personnel dans le cadre d'examens médicaux et/ou de tests d'aptitude, elles doivent indiquer auparavant au candidat ou au travailleur à quelles fins ces données sont utilisées et veiller à ce que ces données soient ensuite communiquées aux intéressés avec les résultats et qu'elles leur soient expliquées s'ils en font la demande. La collecte des données à des fins de tests et d'analyses génétiques est par principe interdite;

d)  il est possible de régler par convention collective la question de savoir si, et dans quelle mesure, l'utilisation du téléphone, du courrier électronique, de l'internet et des autres services de télécommunications est aussi autorisée à des fins privées. Si cette question n'est pas réglée par convention collective, l'employeur conclut directement un accord avec le travailleurs sur cette question. Dans la mesure où une utilisation privée est autorisée, le traitement des données accumulées relatives au trafic est notamment autorisé pour garantir la sécurité des données, assurer le bon fonctionnement des réseaux et des services de télécommunications ainsi qu'à des fins de facturation.

Nonobstant la troisième phrase, les États membres peuvent prévoir, par voie législative, en fixant des délais appropriés pour la suppression des données, que le traitement des données est autorisé à condition qu’il existe une suspicion fondée sur des indices concrets, qui doivent être documentés, selon laquelle le travailleur a commis un délit ou a gravement manqué à ses obligations dans le cadre des relations de travail, que la collecte de données est nécessaire pour clarifier la situation, et que la nature et l'étendue de la collecte de données sont nécessaires et proportionnées par rapport à la finalité poursuivie. L’intimité et la vie privée du travailleur sont protégées à tout moment. L'enquête incombe à l'autorité compétente;

e)  les données à caractère personnel concernant des travailleurs, en particulier les données sensibles comme celles portant sur l'orientation politique, l'affiliation et les activités syndicales, ne peuvent en aucun cas être utilisées pour inscrire les travailleurs sur des "listes noires", se renseigner à leur sujet ou leur barrer l'accès à de futurs emplois. Le traitement, l'utilisation dans le cadre des relations de travail, ainsi que l'établissement et la transmission de « listes noires » de travailleurs ou toutes autres formes de discrimination sont interdits. Les États membre procèdent à des contrôles et adoptent les sanctions adéquates conformément à l'article 79, paragraphe 6, pour assurer la mise en oeuvre effective du présent point.

1 quinquies.  Le transfert et le traitement des données à caractère personnel concernant des travailleurs entre entreprises juridiquement distinctes au sein d'un groupe d'entreprises et avec des professionnels fournissant une assistance juridique et fiscale sont autorisés à condition qu’ils soient pertinents pour le fonctionnement de l'entreprise et effectués dans le cadre de la réalisation d'opérations ou de procédures administratives précises, et qu’ils ne soient pas contraires aux intérêts et aux droits fondamentaux dignes de protection de la personne concernée. Si le transfert de données concernant des travailleurs est réalisé vers un pays tiers et/ou une organisation internationale, le chapitre V s'applique.

2.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1 des paragraphes 1 et 1 ter, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

3.  La Commission est habilitée, après avoir demandé l’avis du comité européen de la protection des données, à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables aux garanties encadrant le traitement de données à caractère personnel aux fins prévues au paragraphe 1. [Am. 192]

Article 82 bis

Traitement dans le cadre de la sécurité sociale

1.  Les États membres peuvent, conformément aux règles établies dans le présent règlement, adopter des dispositions législatives spécifiques précisant les conditions du traitement des données à caractère personnel par leurs institutions et services publics de sécurité sociale si ce traitement est effectué dans l'intérêt public.

2.  Chaque État membre notifie à la Commission les dispositions qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 193]

Article 83

Traitement de données à des fins de recherche historique, statistique et scientifique

1.  Dans les limitesConformément aux dispositions du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si:

a)  ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée;

b)  les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière en appliquant les normes techniques les plus élevées, et toutes les mesures nécessaires sont prises pour éviter la ré-identification injustifiée des personnes concernées.

2.  Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si:

a)  la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7;

b)  la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche; ou

c)  la personne concernée a rendu publiques les données en cause.

3.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause. [Am. 194]

Article 83 bis

Traitement de données à caractère personnel par les services d'archives

1.  Les données à caractère personnel, une fois que le traitement initial pour lesquelles elles ont été collectées a été effectué, peuvent faire l'objet de traitements par les services d'archives qui ont pour mission principale ou obligation légale de collecter, de conserver, d’exploiter et de diffuser ou de fournir des informations sur des archives dans l'intérêt général, notamment pour la justification des droits des personnes ou à des fins de recherche historique, statistique ou scientifique. Ces tâches sont effectuées conformément aux règles établies par les États membres en matière d'accès aux documents administratifs et aux archives, de communication et de diffusion de ceux-ci, et conformément aux dispositions du présent règlement, en particulier en ce qui concerne le consentement et le droit d'opposition.

2.  Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant. [Am. 195]

Article 84

Obligations de secret

1.  Dans les limites duConformément aux dispositions du présent règlement, les États membres peuvent adopter veillent à ce que des règles spéciales soient établies afin de définir les pouvoirs d'investigation des autorités de contrôle prévus à l’article 53, paragraphe 2, à l’égard des responsables du traitement ou des sous‑traitants qui sont soumis, en vertu du droit national ou de réglementations arrêtées par les autorités nationales compétentes, à une obligation de secret professionnel ou d'autres obligations de secret équivalentes, lorsque de telles règles sont nécessaires et proportionnées pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret. Ces règles ne sont applicables qu’en ce qui concerne les données à caractère personnel que le responsable du traitement ou le sous‑traitant a reçues ou s'est procurées dans le cadre d'une activité couverte par ladite obligation de secret. [Am. 196]

2.  Chaque État membre notifie à la Commission les dispositions qu'il adopte en vertu du paragraphe 1, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.

Article 85

Règles existantes des églises et associations religieuses en matière de protection des données

1.  Lorsque, dans un État membre, des églises et des associations ou communautés religieuses appliquent, à la date d'entrée en vigueur du présent règlement, un ensemble complet de des règles appropriées relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, elles peuvent continuer d'appliquer lesdites règles à condition de les mettre en conformité avec les dispositions du présent règlement.

2.  Les églises et les associations religieuses qui appliquent un ensemble complet de des règles appropriées conformément au paragraphe 1 prévoient la création d'une autorité de contrôle indépendante conformément au chapitre VI du présent règlement obtiennent un avis sur la conformité en vertu de l'article 38. [Am. 197]

Article 85 bis

Respect des droits fondamentaux

Le présent règlement n’a pas pour effet de modifier l'obligation de respecter les droits fondamentaux et les principes juridiques fondamentaux consacrés à l'article 6 du traité sur l’Union européenne.

Article 85 ter

Formulaires types

1.  La Commission peut, compte tenu des besoins et des caractéristiques spécifiques des différents secteurs et situations impliquant le traitement de données, établir des formulaires types pour:

a)  les méthodes particulières d'obtention du consentement vérifiable visé à l'article 8, paragraphe 1;

b)  la communication visée à l'article 12, paragraphe 2, y compris sous forme électronique;

c)  la communication des informations visées à l'article 14, paragraphes 1 à 3;

d)  la demande et l'accès aux informations visées à l'article 15, paragraphe 1, y compris pour la communication des données à caractère personnel à la personne concernée;

e)  la documentation visée à l'article 28, paragraphe 1;

f)  les notifications de violations à l'autorité de contrôle en vertu de l'article 31 et la documentation visée à l'article 31, paragraphe 4;

g)  les consultations préalables visées à l'article 34 et la communication d’informations aux autorités de contrôle en vertu de l'article 34, paragraphe 6.

2.  Ce faisant, la Commission prend les mesures appropriées pour les micro, petites et moyennes entreprises.

3.  Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 87, paragraphe 2. [Am. 199]

CHAPITRE X

ACTES DÉLÉGUÉS ET ACTES D'EXÉCUTION

Article 86

Exercice de la délégation

1.  Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.  La délégation deLe pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, d’adopter des actes délégués visé à l'article 15 13 bis, paragraphe 3 5, à l'article 17, paragraphe 9, à l'article 20 38, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, 4 à l'article 39, paragraphe 2, à l'article 41, paragraphe 3, à l’article 41, paragraphe 5, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 76, à l'article 81, paragraphe 3, et à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, est conférée conféré à la Commission pour une durée indéterminée à compter de la date d’entrée en vigueur du présent règlement. [Am. 200]

3.  La délégation de pouvoir visée à l'article 6, paragraphe 5, à l'article 8, paragraphe 3, à l'article 9, paragraphe 3, à l'article 12, paragraphe 5, à l'article 14, paragraphe 7, à l'article 15, paragraphe 3, l’article 13 bis, paragraphe 5, à l'article 17, paragraphe 9, à l'article 20 38, paragraphe 6, à l'article 22, paragraphe 4, à l'article 23, paragraphe 3, à l'article 26, paragraphe 5, à l'article 28, paragraphe 5, à l'article 30, paragraphe 3, à l'article 31, paragraphe 5, à l'article 32, paragraphe 5, à l'article 33, paragraphe 6, à l'article 34, paragraphe 8, à l'article 35, paragraphe 11, à l'article 37, paragraphe 2, 4, à l'article 39, paragraphe 2, à l’article 41, paragraphe 3, à l’article 41, paragraphe 5, à l'article 43, paragraphe 3, à l'article 44, paragraphe 7, à l'article 79, paragraphe 76, à l'article 81, paragraphe 3,et à l'article 82, paragraphe 3, et à l'article 83, paragraphe 3, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur. [Am. 201]

4.  Aussitôt qu'elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

5.  Un acte délégué adopté en vertu de l'article 6 13 bis, paragraphe 5, de l'article 8, paragraphe 3, de l'article 9, paragraphe 3, de l'article 12, paragraphe 5, de l'article 14, paragraphe 7, de l'article 15, paragraphe 3, de l'article 17, paragraphe 9, de l'article 20 38, paragraphe 6, de l'article 22, paragraphe 4, de l'article 23, paragraphe 3, de l'article 26, paragraphe 5, de l'article 28, paragraphe 5, de l'article 30, paragraphe 3, de l'article 31, paragraphe 5, de l'article 32, paragraphe 5, de l'article 33, paragraphe 6, de l'article 34, paragraphe 8, de l'article 35, paragraphe 11, de l'article 37, paragraphe 2, 4, de l'article 39, paragraphe 2, de l'article 41, paragraphe 3, de l'article 41, paragraphe 5, de l'article 43, paragraphe 3, de l'article 44, paragraphe 7, de l'article 79, paragraphe 6, de l'article 81, paragraphe 3, et de l'article 82, paragraphe 3, et de l'article 83, paragraphe 3, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux six mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux six mois à l'initiative du Parlement européen ou du Conseil. [Am. 202]

Article 87

Comité

1.  La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) n° 182/2011.

2.  Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) nº 182/2011 s’applique.

3.  Lorsqu’il est fait référence au présent paragraphe, l’article 8 du règlement (UE) n° 182/2011 s’applique, en liaison avec son article 5. [Am. 203]

CHAPITRE XI

DISPOSITIONS FINALES

Article 88

Abrogation de la directive 95/46/CE

1.  La directive 95/46/CE est abrogée.

2.  Les références faites à la directive abrogée s’entendent comme faites au présent règlement. Les références faites au groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive 95/46/CE s'entendent comme faites au comité européen de la protection des données institué par le présent règlement.

Article 89

Relation avec la directive 2002/58/CE et modification de cette directive

1.  Le présent règlement n'impose pas d'obligations supplémentaires aux personnes physiques ou morales quant au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l'Union en ce qui concerne les domaines dans lesquels elles sont soumises à des obligations spécifiques ayant le même objet énoncées dans la directive 2002/58/CE.

2 L'article 1er, paragraphe 2, et les articles 4 et 15 de la directive 2002/58/CE est supprimé sont supprimés. [Am. 204]

2 bis.   La Commission présente sans délai, et au plus tard à la date visée à l'article 91, paragraphe 2, une proposition de révision du cadre juridique du traitement des données à caractère personnel et de la protection de la vie privée dans le secteur des communications électroniques afin d'harmoniser ce cadre avec le présent règlement et de veiller à la cohérence et à l’uniformité des règles de droit en ce qui concerne le droit fondamental à la protection des données à caractère personnel dans l'Union. [Am. 205]

Article 89 bis

Relation avec le règlement (CE) n° 45/2001 et modification de ce règlement

1.  Les dispositions du présent règlement s'appliquent au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union dans les matières auxquelles ils ne sont pas soumis aux règles supplémentaires énoncées dans le règlement (CE) n° 45/2001.

2.  La Commission présente, sans retard et au plus tard à la date figurant à l'article 91, paragraphe 2, une proposition de révision du cadre juridique applicable au traitement des données à caractère personnel par les institutions, organes et organismes de l'Union. [Am. 206]

Article 90

Évaluation

La Commission présente périodiquement des rapports sur l'évaluation et la révision du présent règlement au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur du présent règlement. Les rapports suivants sont ensuite présentés tous les quatre ans. Pour autant que de besoin, la Commission soumet des propositions appropriées en vue de modifier le présent règlement et d’harmoniser d'autres instruments juridiques, en tenant compte, notamment, de l'évolution de la technologie de l'information et des progrès de la société de l'information. Les rapports sont rendus publics.

Article 91

Entrée en vigueur et application

1.  Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2.  Il est applicable à compter du ...(21).

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à

Par le Parlement européen Par le Conseil

Le président Le président

Annexe - Présentation des indications visées à l'article 13 bis

1)  Compte tenu des dimensions visées au point 6, les indications devraient être présentées comme suit:

2)  Dans les lignes de la deuxième colonne du tableau figurant au point 1, intitulée "INFORMATIONS ESSENTIELLES", les termes suivants sont présentés en caractères gras:

a)  le terme "collectée" à la première ligne de la deuxième colonne;

b)  le terme "conservée" à la deuxième ligne de la deuxième colonne;

c)  le terme "traitée" à la troisième ligne de la deuxième colonne;

d)  le terme "divulguée" à la quatrième ligne de la deuxième colonne;

e)  les termes "vendue ou louée" à la cinquième ligne de la deuxième colonne;

f)  le terme "non cryptée" à la sixième ligne de la deuxième colonne.

3)  Compte tenu des dimensions visées au point 6, les lignes de la troisième colonne du tableau figurant au point 1, intitulée "POINT RESPECTÉ", doivent être complétées par l'une des deux formes graphiques suivantes, conformément aux critères établis au point 4:

a)

b)

4)  

a)  Si aucune donnée à caractère personnel n'est collectée au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la première ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3,  a).

b)  Si des données à caractère personnel sont collectées au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la première ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).

c)  Si aucune donnée à caractère personnel n'est conservée au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la deuxième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).

d)  Si des données à caractère personnel sont conservées au-delà du strict minimum nécessaire à chaque finalité spécifique du traitement, la deuxième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).

e)  Si aucune donnée à caractère personnel n'est traitée à des fins autres que celles pour lesquelles elle a été collectée, la troisième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).

f)  Si des données à caractère personnel sont traitées à des fins autres que celles pour lesquelles elles ont été collectées, la troisième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).

g)  Si aucune donnée à caractère personnel n'est divulguée à des tiers commerciaux, la quatrième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).

h)  Si des données à caractère personnel sont divulguées à des tiers commerciaux, la quatrième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).

i)  Si aucune donnée à caractère personnel n'est vendue ou louée, la cinquième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).

j)  Si des données à caractère personnel sont vendues ou louées, la cinquième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).

k)  Si aucune donnée à caractère personnel n'est conservée de manière non cryptée, la sixième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, a).

l)  Si des données à caractère personnel sont conservées de manière non cryptée, la sixième ligne de la troisième colonne du tableau figurant au point 1 est complétée par la forme graphique visée au point 3, b).

5)  Les couleurs de référence des formes graphiques présentées au point 1 sont le Noir Pantone n° 7547 et le Rouge Pantone n° 485. La couleur de référence de la forme graphique présentée au point 3, a), est le Vert Pantone n° 370. La couleur de référence de la forme graphique présentée au point 3, b), est le Rouge Pantone n° 485.

6)  Les dimensions données dans le dessin gradué ci-dessous doivent être respectées même en cas de réduction ou d'agrandissement du tableau:

[Am. 207]

(1) JO C 229 du 31.7.2012, p. 90. (2) JO C 192 du 30.6.2012, p. 7. (3) Position du Parlement européen du 12 mars 2014. (4) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31). (5) Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36). (6) JO L 8 du 12.01.2001, p. 1. (7) Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1). (8) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178 du 17.7.2000, p. 1). (9) Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29). (10) Règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70). (11) Directive 2009/38/CE du Parlement européen et du Conseil du 6 mai 2009 concernant l'institution d'un comité d'entreprise européen ou d'une procédure dans les entreprises de dimension communautaire et les groupes d'entreprises de dimension communautaire en vue d'informer et de consulter les travailleurs (JO L 122 du 16.5.2009, p. 28). (12) Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13). (13) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37). (14) JO L 176 du 10.7.1999, p. 36. (15) JO L 53 du 27.2.2008, p. 52. (16) JO L 160 du 18.6.2011, p. 21. (17) Directive 2004/18/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés publics de travaux, de fournitures et de services (JO L 134 du 30.4.2004, p. 114). (18) Directive 2004/17/CE du Parlement européen et du Conseil du 31 mars 2004 portant coordination des procédures de passation des marchés dans les secteurs de l'eau, de l'énergie, des transports et des services postaux (JO L 134 du 30.4.2004, p. 1). (19) Règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43). (20) Directive 2001/20/CE du Parlement européen et du Conseil du 4 avril 2001 concernant le rapprochement des dispositions législatives, réglementaires et administratives des États membres relatives à l'application de bonnes pratiques cliniques dans la conduite d'essais cliniques de médicaments à usage humain (JO L 121 du 1.5.2001, p. 34). (21) Deux ans à partir de la date d'entrée en vigueur du présent règlement.