|
|
EXPOSÉ DES MOTIFS
|
EXPLANATORY MEMORANDUM
|
|
1.
CONTEXTE
DE LA PROPOSITION
|
1.
CONTEXT OF THE PROPOSAL
|
|
Le présent exposé des motifs précise le nouveau cadre
juridique envisagé pour la protection des données à caractère personnel dans
l'Union européenne, qui est décrit dans la communication
COM(2012) 9 final[1].
Ce nouveau cadre juridique se compose de deux propositions législatives:
|
This explanatory memorandum presents in
further detail the proposed new legal framework for the protection of personal
data in the EU as set out in Communication COM (2012) 9 final[1]. The proposed new legal
framework consists of two legislative proposals:
|
|
–
une proposition de règlement du Parlement européen et du Conseil relatif
à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données (règlement général
sur la protection des données), et
|
–
a proposal for a Regulation of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data and on the free movement of such data (General
Data Protection Regulation), and
|
|
–
une proposition de directive du Parlement européen et du Conseil
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière, ou d'exécution de sanctions pénales, et à la libre circulation
de ces données[2].
|
–
a proposal for a Directive of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data by competent authorities for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and the free movement of such data[2].
|
|
Le présent exposé des motifs porte sur la proposition de
règlement général sur la protection des données.
|
This explanatory memorandum concerns the legislative
proposal for a General Data Protection Regulation.
|
|
La pièce maîtresse de la législation de l’UE en matière de
protection des données à caractère personnel, à savoir la directive 95/46/CE[3],
avait été adoptée en 1995 avec deux objectifs à l'esprit: protéger le droit
fondamental à la protection des données et garantir la libre circulation des
données à caractère personnel entre les États membres. Elle a été complétée par
la décision-cadre 2008/977/JAI destinée, à titre d'instrument général, au
niveau de l'Union, à protéger les données à caractère personnel dans les
domaines de la coopération policière et de la coopération judiciaire en matière
pénale[4].
|
The centrepiece of existing EU legislation
on personal data protection, Directive 95/46/EC[3],
was adopted in 1995 with two objectives in mind: to protect the fundamental
right to data protection and to guarantee the free flow of personal data
between Member States. It was complemented by Framework Decision 2008/977/JHA
as a general instrument at Union level for the protection of personal data in
the areas of police co-operation and judicial co-operation in criminal matters[4].
|
|
La rapide évolution des technologies a créé de nouveaux
enjeux pour la protection des données à caractère personnel. Le partage et la
collecte de données ont connu une augmentation spectaculaire. Les nouvelles
technologies permettent tant aux entreprises privées qu’aux pouvoirs publics
d’utiliser les données à caractère personnel comme jamais auparavant dans le
cadre de leurs activités. De plus en plus de personnes physiques rendent des
informations les concernant accessibles à tout un chacun, où qu’il se trouve
dans le monde. Les nouvelles technologies ont ainsi transformé l’économie et
les rapports sociaux.
|
Rapid technological developments have
brought new challenges for the protection of personal data. The scale of data
sharing and collecting has increased dramatically. Technology allows both
private companies and public authorities to make use of personal data on an
unprecedented scale in order to pursue their activities. Individuals
increasingly make personal information available publicly and globally.
Technology has transformed both the economy and social life.
|
|
Or l’instauration d’un climat de confiance dans
l’environnement en ligne est essentielle au développement économique. S’ils
n’ont pas totalement confiance, les consommateurs hésiteront à faire des achats
en ligne et à recourir à de nouveaux services. Cela risque de ralentir
l’innovation dans l’utilisation des nouvelles technologies. La protection des
données à caractère personnel joue donc un rôle crucial dans la stratégie
numérique pour l'Europe[5]
et, plus généralement, dans la stratégie Europe 2020[6].
|
Building trust in the online environment is
key to economic development. Lack of trust makes consumers hesitate to buy
online and adopt new services. This risks slowing down the development of
innovative uses of new technologies. Personal data protection therefore plays a
central role in the Digital Agenda for Europe[5],
and more generally in the Europe 2020 Strategy[6].
|
|
L'article 16, paragraphe 1, du traité sur le
fonctionnement de l’Union européenne (TFUE), introduit par le traité de
Lisbonne, établit le principe selon lequel toute personne a droit à la
protection des données à caractère personnel la concernant. En outre, avec
l’article 16, paragraphe 2, du TFUE, le traité de Lisbonne a créé une
base juridique spécifique pour l’adoption de règles en matière de protection
des données à caractère personnel. L’article 8 de la charte des droits fondamentaux
de l’Union européenne consacre la protection des données à caractère personnel
en tant que droit fondamental.
|
Article 16(1) of Treaty on the Functioning
of the European Union (TFEU), as introduced by the Lisbon Treaty, establishes
the principle that everyone has the right to the protection of personal data
concerning him or her. Moreover, with Article 16(2) TFEU, the Lisbon Treaty introduced
a specific legal basis for the adoption of rules on the protection of personal
data. Article 8 of the Charter of
Fundamental Rights of the EU enshrines protection of
personal data as a fundamental right.
|
|
Le Conseil européen a invité la Commission à évaluer le
fonctionnement des instruments de l'UE relatifs à la protection des données et
à présenter, si besoin est, de nouvelles initiatives législatives et non
législatives[7].
Dans sa résolution sur le programme de Stockholm, le Parlement européen[8]
s’est félicité de la proposition d’un régime complet de protection des données
à l’intérieur de l’Union et a, entre autres, plaidé pour une révision de la
décision‑cadre. Dans son plan d'action mettant en œuvre le programme de
Stockholm[9],
la Commission insistait sur la nécessité de veiller à ce que le droit
fondamental à la protection des données à caractère personnel soit appliqué
systématiquement dans le cadre de toutes les politiques européennes.
|
The European Council invited the Commission
to evaluate the functioning of EU instruments on data protection and to
present, where necessary, further legislative and non-legislative initiatives[7]. In its resolution on the
Stockholm Programme, the European Parliament[8]
welcomed a comprehensive data protection scheme in the EU and among others
called for the revision of the Framework Decision. The Commission stressed in
its Action Plan implementing the Stockholm Programme[9] the need to ensure that the
fundamental right to personal data protection is consistently applied in the
context of all EU policies.
|
|
Dans sa communication intitulée «Une approche globale de la
protection des données à caractère personnel dans l’Union européenne»[10],
la Commission a conclu que l’UE avait besoin d’une politique plus globale et
plus cohérente à l’égard du droit fondamental à la protection des données à
caractère personnel.
|
In its Communication on “A comprehensive approach on personal data protection in the European
Union”[10],
the Commission concluded that the EU needs a
more comprehensive and coherent policy on the fundamental right to personal
data protection.
|
|
S’il demeure satisfaisant en ce qui concerne ses objectifs
et ses principes, le cadre juridique actuel n'a cependant pas permis d’éviter
une fragmentation de la mise en œuvre de la protection des données à caractère
personnel dans l'Union, une insécurité juridique et le sentiment, largement
répandu dans le public, que des risques importants subsistent, notamment dans
l’environnement en ligne[11].
C'est pourquoi il est temps de doter l’Union d’un cadre juridique plus solide
et plus cohérent en matière de protection des données, assorti d’une
application rigoureuse des règles, afin de permettre à l'économie numérique de
se développer sur tout le marché intérieur et aux personnes physiques de
maîtriser l’utilisation qui est faite des données les concernant, et de
renforcer la sécurité juridique et pratique pour les opérateurs économiques et
les pouvoirs publics.
|
The current framework remains sound as far
as its objectives and principles are concerned, but it has not prevented
fragmentation in the way personal data protection is implemented across the
Union, legal uncertainty and a widespread public perception that there are
significant risks associated notably with online activity[11]. This is why it is time to
build a stronger and more coherent data protection framework in the EU, backed
by strong enforcement that will allow the digital economy to develop across the
internal market, put individuals in control of their own data and reinforce
legal and practical certainty for economic operators and public authorities.
|
|
2.
RÉSULTATS
DE LA CONSULTATION DES PARTIES INTÉRESSÉES ET DE L'ANALYSE D’IMPACT
|
2.
RESULTS OF CONSULTATIONS WITH THE INTERESTED PARTIES
AND IMPACT ASSESSMENT
|
|
La présente initiative fait suite à une vaste consultation
des principales parties prenantes sur l’opportunité de réviser le cadre
juridique actuel de la protection des données à caractère personnel, qui a duré
plus de deux ans et a notamment pris la forme d’une conférence à haut niveau en
mai 2009[12]
et de deux phases de consultation publique:
|
This initiative is the result of extensive
consultations with all major stakeholders on a review of the current legal
framework for the protection of personal data, which lasted for more than two
years and included a high level conference in May 2009[12] and two phases of public
consultation:
|
|
–
du 9 juillet au 31 décembre 2009, la consultation sur
le cadre juridique applicable au droit fondamental à la protection des données
à caractère personnel. La Commission a reçu 168 réponses, dont
127 provenaient de particuliers, d’organisations et d’associations
professionnelles, et 12 de pouvoirs publics[13];
|
–
From 9 July to 31 December 2009, the Consultation
on the legal framework for the fundamental right to the protection of personal
data. The Commission received 168 responses, 127 from individuals, business
organisations and associations and 12 from public authorities.[13]
|
|
–
du 4 novembre 2010 au 15 janvier 2011, la consultation
sur l’approche globale de la Commission en matière de protection des
données à caractère personnel dans l'Union européenne. La Commission a reçu
305 réponses, dont 54 émanaient de citoyens, 31 de pouvoirs publics et
220 d’organismes privés, notamment des associations professionnelles et
des organisations non gouvernementales[14].
|
–
From 4 November 2010 to 15 January 2011, the Consultation
on the Commission's comprehensive approach on personal data protection in the
European Union. The Commission received 305 responses, of which 54 from
citizens, 31 from public authorities and 220 from private organisations, in
particular business associations and non-governmental organisations.[14]
|
|
Des consultations ciblées ont également été menées auprès
des principales parties prenantes; des manifestations spécifiques, associant
les autorités des États membres et les parties prenantes du secteur privé,
ainsi que des organisations de protection des données et de la vie privée, et
des associations de consommateurs, ont été organisées en juin et en
juillet 2010[15]..
En novembre 2010, Mme Viviane Reding, vice-présidente de la Commission
européenne, a tenu une table ronde sur la réforme de la protection des données.
Le 28 janvier 2011, lors de la Journée de la protection des données,
la Commission européenne et le Conseil de l'Europe ont organisé conjointement
une conférence à haut niveau afin d’examiner des questions liées à la réforme
du cadre juridique de l'UE ainsi que la nécessité d’instaurer des normes
communes de protection des données au niveau mondial[16].
Deux conférences sur la protection des données se sont tenues dans le cadre des
présidences hongroise et polonaise du Conseil,
les 16 et 17 juin 2011 et le 21 septembre 2011
respectivement.
|
Targeted consultations were also conducted
with key stakeholders; specific events were organised in June and July 2010
with Member State authorities and with private sector stakeholders, as well as
privacy, data protection and consumers' organisations[15]. In November 2010, European
Commission’s Vice-President Reding organised a roundtable on the data
protection reform. On 28 January 2011 (Data Protection Day), the European
Commission and the Council of Europe co-organised a high level conference to
discuss issues related to the reform of the EU legal framework as well as to the
need for common data protection standards worldwide[16]. Two conferences on data
protection were hosted by the Hungarian and Polish Presidencies of the Council
on 16-17 June 2011 and on 21 September 2011 respectively.
|
|
Des ateliers et séminaires spécialisés, portant sur des
questions spécifiques, se sont déroulés tout au long de l'année 2011. En
janvier, l'ENISA[17]
a organisé un atelier sur la notification des violations de données en Europe[18].
En février, la Commission a convoqué un atelier avec les autorités des États
membres afin d’examiner des questions liées à la protection des données dans le
domaine de la coopération policière et judiciaire en matière pénale, notamment
la mise en œuvre de la décision-cadre, et l'Agence des droits fondamentaux a
tenu une réunion de consultation des parties prenantes sur «la protection des
données et le respect de la vie privée». Une discussion sur des aspects
essentiels de la réforme a eu lieu le 13 juillet 2011 avec les
autorités nationales chargées de la protection des données. Les citoyens de
l’Union ont été consultés dans le cadre d’une enquête Eurobaromètre qui s’est
déroulée aux mois de novembre et décembre 2010[19].
Plusieurs études ont également été entreprises[20].
Le groupe de travail «Article 29»[21]
a rendu plusieurs avis et apporté une contribution utile à la Commission[22].
Le contrôleur européen de la protection des données a également rendu un avis
exhaustif sur les questions soulevées dans la communication de la Commission de
novembre 2010[23].
|
Dedicated workshops and seminars on specific
issues were held throughout 2011. In January ENISA[17] organised a workshop on data
breach notifications in Europe[18].
In February, the Commission convened a workshop with Member States' authorities
to discuss data protection issues in the area of police co-operation and
judicial co-operation in criminal matters, including the implementation of the
Framework Decision, and the Fundamental Rights Agency held a stakeholder
consultation meeting on "Data Protection and Privacy". A discussion
on key issues of the reform was held on 13 July 2011 with national Data
Protection Authorities. EU citizens were consulted through a Eurobarometer
survey held in November-December 2010[19].
A number of studies were also launched.[20]
The “Article 29 Working Party”[21]
provided several opinions and useful input to the Commission[22]. The European Data Protection
Supervisor also issued a comprehensive opinion on the issues raised in the
Commission's November 2010 Communication[23].
|
|
Par résolution du 6 juillet 2011, le Parlement
européen a approuvé un rapport qui appuyait l'approche de la Commission quant à
la réforme du cadre législatif régissant la protection des données[24].
Le Conseil de l'Union européenne a adopté, le 24 février 2011, des conclusions
dans lesquelles il soutient largement l'intention de la Commission de réformer
le cadre de la protection des données et approuve de nombreux éléments de son
approche. Le Comité économique et social européen s’est également déclaré
favorable à une révision appropriée de la directive 95/46/CE, soutenant
l’objectif général de la Commission d’assurer une application plus cohérente
des règles européennes en matière de protection des données[25]
dans tous les États membres[26].
|
The European Parliament approved by its
resolution of 6 July 2011 a report that supported the Commission’s approach to
reforming the data protection framework.[24]
The Council of the European Union adopted conclusions on 24 February 2011 in
which it broadly supports the Commission's intention to reform the data protection
framework and agrees with many elements of the Commission's approach. The European
Economic and Social Committee likewise supported the Commission's aim to ensure
a more consistent application of EU data [25]protection
rules across all Member States an appropriate revision of Directive 95/46/EC.[26]
|
|
Au cours des consultations sur l’approche globale, la grande
majorité des parties prenantes a reconnu que les principes généraux restaient
valables, mais qu’il y avait lieu d’adapter le cadre juridique actuel afin de
mieux répondre aux défis posés par la rapide évolution des nouvelles
technologies (notamment en ligne) et la mondialisation croissante, tout en
préservant la neutralité technologique dudit cadre. La fragmentation de la
protection des données à caractère personnel à laquelle nous assistons
actuellement dans l’Union a fait l’objet de vives critiques, en particulier de
la part des opérateurs économiques, qui réclament une plus grande sécurité
juridique et une harmonisation plus poussée des règles en matière de protection
des données à caractère personnel. Ils considèrent que la complexité des règles
relatives aux transferts internationaux de données à caractère personnel
constitue un obstacle important à leur activité, puisqu’ils ont régulièrement
besoin de transférer ce type de données de l'UE vers d'autres parties du monde.
|
During the consultations on the
comprehensive approach, a large majority of stakeholders agreed that the
general principles remain valid but that there is a need to adapt the current
framework in order to better respond to challenges posed by the rapid
development of new technologies (particularly online) and increasing
globalisation, while maintaining the technological neutrality of the legal
framework. Heavy criticism has been expressed regarding the current
fragmentation of personal data protection in the Union, in particular by
economic stakeholders who asked for increased legal certainty and harmonisation
of the rules on the protection of personal data. The complexity of the rules on
international transfers of personal data is considered as constituting a
substantial impediment to their operations as they regularly need to transfer
personal data from the EU to other parts of the world.
|
|
Conformément à sa politique tendant à «mieux légiférer», la
Commission a réalisé une analyse d’impact des différentes options possibles.
Cette analyse reposait sur trois objectifs, à savoir: renforcer la
dimension «marché intérieur» de la protection des données, rendre
l’exercice du droit à la protection des données par les personnes physiques
plus effectif et instaurer un cadre global et cohérent couvrant tous les
domaines de compétence de l’Union, y compris la coopération policière et la
coopération judiciaire en matière pénale. Trois options, prévoyant un degré
d’intervention variable, ont été évaluées: la première consistait à apporter un
minimum de modifications législatives et à recourir à des communications
interprétatives et à des mesures de soutien telles que des programmes de
financement et des instruments techniques; la deuxième comprenait un ensemble
de dispositions législatives répondant à chacun des problèmes mis en évidence
dans l'analyse, et la troisième prévoyait la centralisation de la protection
des données au niveau de l’UE grâce à l’adoption de règles précises et
détaillées pour tous les secteurs et à la création d'une agence européenne
chargée de surveiller et de contrôler l'application des dispositions.
|
In line with its “Better Regulation”
policy, the Commission conducted an impact assessment of policy alternatives. The
impact assessment was based on the three policy objectives of improving the
internal market dimension of data protection, making the exercise of data
protection rights by individuals more effective and creating a comprehensive
and coherent framework covering all areas of Union competence, including police
co-operation and judicial co-operation in criminal matters. Three policy
options of different degrees of intervention were assessed: the first option
consisted of minimal legislative amendments and the use of interpretative
Communications and policy support measures such as funding programmes and
technical tools; the second option comprised a set of legislative provisions
addressing each of the issues identified in the analysis and the third option
was the centralisation of data protection at EU level through precise and
detailed rules for all sectors and the establishment of an EU agency for
monitoring and enforcement of the provisions.
|
|
Conformément à la méthode établie par la Commission, chaque
option a été évaluée, avec l’aide d’un groupe de pilotage interservices, au
regard de son efficacité pour atteindre les objectifs fixés, de son impact
économique sur les parties prenantes (y compris sur le budget des institutions
de l’UE), de son impact social et de son incidence sur les droits fondamentaux.
L’impact environnemental n’a pas été examiné. Cette analyse de l’incidence
globale des différentes options a permis de dégager l’option privilégiée qui
est fondée sur la deuxième option, en y associant quelques éléments des deux
autres, et est intégrée dans la présente proposition. D’après l’analyse
d’impact, l’option privilégiée devrait permettre, entre autres, de
considérablement accroître la sécurité juridique pour les responsables du
traitement des données et les citoyens, réduire la charge administrative,
harmoniser l’application des règles en matière de protection des données dans
l’Union, renforcer l’exercice effectif par les personnes physiques de leur
droit à la protection des données les concernant au sein de l’UE et améliorer
l’efficacité de la surveillance et du contrôle de l’application des règles en
la matière. La mise en œuvre de l’option privilégiée devrait également
contribuer à la réalisation de l'objectif de simplification et de réduction de
la charge administrative poursuivi par la Commission et des objectifs de la
stratégie numérique pour l'Europe, du plan d'action mettant en œuvre le
programme de Stockholm et de la stratégie Europe 2020.
|
According to the Commission's established
methodology, each policy option was assessed, with the help of an Interservice
steering group, against its effectiveness to achieve the policy objectives, its
economic impact on stakeholders (including on the budget of the EU institutions),
its social impact and effect on fundamental rights. Environmental impacts were
not observed. The analysis of the overall impact led to the development of the
preferred policy option which is based on the second option with some elements
from the other two options and incorporated in the present proposal. According
to the impact assessment, its implementation will lead inter alia to
considerable improvements regarding legal certainty for data controllers and
citizens, reduction of administrative burden, consistency of data protection
enforcement in the Union, the effective possibility of individuals to exercise
their data protection rights to the protection of personal data within the EU
and the efficiency of data protection supervision and enforcement. Implementation
of the preferred policy options are also expected to contribute to the
Commission's objective of simplification and reduction of administrative burden
and to the objectives of the Digital Agenda for Europe, the Stockholm Action
Plan and the Europe 2020 strategy.
|
|
Le comité des analyses d'impact a rendu un avis sur le
projet d'analyse d'impact le 9 septembre 2011, à la suite de quoi ce
dernier a été modifié comme suit:
|
The Impact Assessment Board delivered an
opinion on the draft impact assessment on 9 September 2011. Following the
IAB opinion, the following changes were made to the impact assessment:
|
|
–
les objectifs du cadre juridique actuel (la mesure dans laquelle ils ont
été atteints ou ne l’ont pas été) ainsi que ceux de la réforme envisagée ont
été précisés;
|
–
The objectives of the current legal framework (to
what extent they were achieved, and to what extent they were not), as well as
the objectives of the envisaged reform were clarified;
|
|
–
des éléments de fait et des explications/précisions ont été ajoutés dans
la section relative à la définition des problèmes;
|
–
More evidence and additional
explanations/clarification were added to the problems' definition section;
|
|
–
une section concernant la proportionnalité a été ajoutée;
|
–
A section on proportionality was added;
|
|
–
tous les calculs et toutes les estimations relatifs à la charge
administrative dans le scénario de départ et dans l’option privilégiée ont été entièrement
révisés, et le rapport entre le coût des notifications et le coût total de la
fragmentation a été clarifié (y compris l'annexe 10);
|
–
All calculations and estimations related to
administrative burden in the baseline scenario and in the preferred option have
been entirely reviewed and revised, and the relation between the costs of
notifications and the overall fragmentation costs has been clarified (including
Annex 10);
|
|
–
les incidences sur les micro, petites et moyennes entreprises, notamment
celles de l’obligation de désigner un délégué à la protection des données et de
réaliser des analyses d’impact relatives à cette protection ont été précisées.
|
–
Impacts on micro, small and medium enterprises,
particularly of data protection officers and data protection impact assessments
have been better specified.
|
|
L'analyse d'impact et son résumé sont publiés avec les
propositions.
|
The impact assessment report and an executive
summary are published with the proposals.
|
|
3.
ÉLÉMENTS
JURIDIQUES DE LA PROPOSITION
3.1.
Base juridique
|
3.
LEGAL ELEMENTS OF THE PROPOSAL
3.1.
Legal Basis
|
|
La présente proposition est fondée sur
l'article 16 du TFUE, qui est la nouvelle base juridique,
introduite par le traité de Lisbonne, pour l’adoption de règles en matière de
protection des données. Cette disposition permet d'adopter des règles relatives
à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel par les États membres dans l’exercice d’activités qui
relèvent du champ d’application du droit de l’Union. Elle permet également
l’adoption de règles relatives à la libre circulation de ces données, y compris
les données à caractère personnel traitées par les États membres ou des
personnes privées.
|
This proposal is based on Article 16 TFEU,
which is the new legal basis for the adoption of data protection rules
introduced by the Lisbon Treaty. This provision allows the adoption of rules
relating to the protection of individuals with regard to the processing of
personal data by Member States when carrying out activities which fall within
the scope of Union law. It also allows the adoption of rules relating to the free
movement of personal data, including personal data processed by Member States
or private parties.
|
|
Un règlement est considéré comme l’instrument juridique le
plus indiqué pour définir le cadre de la protection des données à caractère
personnel dans l'Union. Son applicabilité directe, prévue à
l’article 288 du TFUE, permettra de réduire la fragmentation
juridique et d’apporter une plus grande sécurité juridique, en instaurant un
corps harmonisé de règles de base, en améliorant la protection des droits
fondamentaux des personnes physiques et en contribuant au bon fonctionnement du
marché intérieur.
|
A Regulation is considered to be the most
appropriate legal instrument to define the framework for the protection of
personal data in the Union. The direct applicability of a Regulation in
accordance with Article 288 TFEU will reduce legal fragmentation and provide greater
legal certainty by introducing a harmonised set of core rules, improving the
protection of fundamental rights of individuals and contributing to the
functioning of the Internal Market.
|
|
La référence à l’article 114, paragraphe 1, du
TFUE n’est nécessaire qu’aux fins de modification de la
directive 2002/58/CE dans la mesure où ladite directive prévoit également
la protection des intérêts légitimes des abonnés qui sont des personnes
morales.
|
The reference to Article 114(1) TFEU is only
necessary for amending Directive 2002/58/EC to the extent that that Directive
also provides for the protection of the legitimate interests of subscribers who
are legal persons.
|
|
3.2.
Subsidiarité et proportionnalité
|
3.2.
Subsidiarity and proportionality
|
|
Selon le principe de subsidiarité (article 5,
paragraphe 3, du TUE), une action au niveau de l’Union est entreprise
seulement si, et dans la mesure où, les objectifs envisagés ne peuvent pas être
atteints de manière suffisante par les États membres, mais peuvent l’être
mieux, en raison des dimensions ou des effets de l’action envisagée, au niveau
de l’Union. À la lumière des problèmes décrits ci-dessus, l’analyse de
subsidiarité indique la nécessité d'une action au niveau de l'UE pour les
raisons suivantes:
|
According to the principle of subsidiarity
(Article 5(3) TEU), action at Union level shall be taken only if and in so far
as the objectives envisaged cannot be achieved sufficiently by Member States,
but can rather, by reason of the scale or effects of the proposed action, be
better achieved by the Union. In the light of the problems outlined above, the
analysis of subsidiarity indicates the necessity of EU-level action on the
following grounds:
|
|
–
le droit à la protection des données à caractère personnel, consacré à
l'article 8 de la charte des droits fondamentaux, exige un niveau de
protection des données identique dans l'ensemble de l'Union. L'absence de
règles communes dans l’UE risquerait d’entraîner des niveaux de protection
différents dans les États membres et, partant, des restrictions sur les flux
transfrontières de données à caractère personnel entre les États membres
n’appliquant pas les mêmes normes;
|
–
The right to the protection of personal data,
enshrined in Article 8 of the Charter of Fundamental Rights, requires the same
level of data protection throughout the Union. The absence of common EU rules
would create the risk of different levels of protection in the Member States
and create restrictions on cross-border flows of personal data between Member
States with different standards.
|
|
–
les données à caractère personnel sont transférées de plus en plus
rapidement au-delà des frontières nationales, qu'il s’agisse de frontières
intérieures ou extérieures. En outre, le contrôle de la bonne application de la
législation sur la protection des données pose des problèmes pratiques et il
conviendrait d'instaurer une coopération entre les États membres et leurs
autorités, organisée au niveau de l'UE, afin d'assurer une application uniforme
du droit de l’Union. L'Union européenne est aussi la mieux placée pour garantir
d’une manière efficace et cohérente le même niveau de protection aux personnes
physiques, lorsque des données à caractère personnel les concernant sont
transférées vers des pays tiers;
|
–
Personal data are transferred across national
boundaries, both internal and external borders, at rapidly increasing rates. In
addition, there are practical challenges to enforcing data protection
legislation and a need for co-operation between Member States and their
authorities, which needs to be organised at EU level to ensure unity of
application of Union law. The EU is also best placed to ensure effectively and
consistently the same level of protection for individuals when their personal
data are transferred to third countries.
|
|
–
les États membres ne sont pas en mesure de résoudre seuls les problèmes
posés par la situation actuelle, en particulier ceux dus à la fragmentation des
législations nationales. Aussi y a-t-il précisément lieu de définir un cadre
harmonisé et cohérent permettant un transfert aisé des données à caractère
personnel au‑delà des frontières nationales au sein de l’UE, tout en assurant
une protection effective de toutes les personnes physiques dans l’ensemble de
l’UE;
|
–
Member States cannot alone reduce the problems
in the current situation, particularly those due to the fragmentation in
national legislations. Thus, there is a specific need to establish a harmonised
and coherent framework allowing for a smooth transfer of personal data across
borders within the EU while ensuring effective protection for all individuals
across the EU.
|
|
–
les actions législatives envisagées au niveau de l’UE seront plus
efficaces que des actions comparables entreprises au niveau des États membres,
compte tenu de la nature et de l’ampleur des problèmes, qui ne se limitent pas
à un seul ou à plusieurs États membres.
|
–
The proposed EU legislative actions will be more
effective than similar actions at the level of Member States because of the
nature and scale of the problems, which are not confined to the level of one or
several Member States.
|
|
Le principe de proportionnalité veut que toute intervention
soit ciblée et n'excède pas ce qui est nécessaire pour atteindre les objectifs
visés. Ce principe a guidé toute l’élaboration de la présente proposition législative,
de la détermination et l’évaluation des différentes options jusqu’à sa
rédaction.
|
The principle of proportionality requires
that any intervention is targeted and does not go beyond what is necessary to
achieve the objectives. This principle has guided the preparation of this
proposal from the identification and evaluation of alternative policy options
to the drafting of the legislative proposal.
|
|
3.3.
Résumé des aspects relatifs aux droits fondamentaux
|
3.3.
Summary of fundamental rights issues
|
|
Le droit à la protection des données à caractère personnel
est établi à l'article 8 de la charte et à l’article 16 du TFUE,
ainsi qu’à l’article 8 de la CEDH. Ainsi que l'a souligné la Cour de
justice de l’Union européenne[27],
le droit à la protection des données à caractère personnel n’apparaît pas comme
une prérogative absolue, mais doit être pris en considération par rapport à sa
fonction dans la société[28].
La protection des données est étroitement liée au respect de la vie privée et
familiale, protégé par l'article 7 de la charte. Cela trouve son
expression à l’article 1er, paragraphe 1, de la
directive 95/46/CE qui dispose que les États membres assurent la
protection des libertés et droits fondamentaux des personnes physiques,
notamment de leur vie privée, à l'égard du traitement des données à caractère
personnel.
|
The right to protection of personal data is
established by Article 8 of the Charter and Article 16 TFEU and in Article 8 of
the ECHR. As underlined by the Court of Justice of the EU[27], the right to the protection
of personal data is not an absolute right, but must be considered in relation
to its function in society[28].
Data protection is closely linked to respect for private and family life
protected by Article 7 of the Charter. This is reflected by Article 1(1) of
Directive 95/46/EC which provides that Member States shall protect fundamental
rights and freedoms of natural persons and in particular their right to privacy
with respect of the processing of personal data.
|
|
Les autres droits fondamentaux consacrés dans la charte et
susceptibles d'être affectés sont les suivants: la liberté d'expression
(article 11 de la charte); la liberté d'entreprise (article 16); le droit de
propriété, et notamment la protection de la propriété intellectuelle
(article 17, paragraphe 2); l’interdiction de toute discrimination fondée
notamment sur la race, les origines ethniques, les caractéristiques génétiques,
la religion ou les convictions, les opinions politiques ou toute autre opinion,
un handicap ou l'orientation sexuelle (article 21); les droits de l’enfant
(article 24); le droit à un niveau élevé de protection de la santé humaine
(article 35); le droit d’accès aux documents (article 42); le droit à
un recours effectif et à accéder à un tribunal impartial (article 47).
|
Other potentially affected fundamental
rights enshrined in the Charter are the following: freedom of expression
(Article 11 of the Charter); freedom to conduct a business (Article 16); the right
to property and in particular the protection of intellectual property (Article
17(2)); the prohibition of any discrimination amongst others on grounds such as
race, ethnic origin, genetic features, religion or belief, political opinion or
any other opinion, disability or sexual orientation (Article 21); the rights of
the child (Article 24); the right to a high level of human health care (Article
35); the right of access to documents (Article 42); the right to an effective
remedy and a fair trial (Article 47).
|
|
3.4.
Explication détaillée de la proposition
3.4.1.
CHAPITRE I - DISPOSITIONS GÉNÉRALES
|
3.4.
Detailed explanation of the proposal
3.4.1.
CHAPTER I - GENERAL PROVISIONS
|
|
L’article 1er définit l’objet du règlement et,
comme l'article 1er de la directive 95/46/CE, les deux
objectifs poursuivis.
|
Article 1 defines subject matter of the
Regulation, and, as in Article 1 of Directive 95/46/EC, sets out the two objectives
of the Regulation.
|
|
L'article 2 délimite le champ d'application matériel du
règlement.
|
Article 2 determines the material scope of
the Regulation.
|
|
L'article 3 délimite le champ d'application territorial du
règlement.
|
Article 3 determines the territorial scope
of the Regulation.
|
|
L'article 4 définit des termes employés dans le règlement.
Certaines définitions sont reprises de la directive 95/46/CE, tandis que
d'autres sont modifiées ou complétées par des éléments supplémentaires, ou sont
nouvelles (la «violation de données à caractère personnel» dont la définition
est fondée sur l'article 2, point h), de la directive 2002/58/CE[29]
(«vie privée et communications électroniques») telle que modifiée par la
directive 2009/136/CE[30],
les «données génétiques», les «données biométriques», les «données concernant
la santé», l’«établissement principal», le «représentant», l’«entreprise», le
«groupe d'entreprises», les «règles d'entreprise contraignantes», l’«enfant»
dont la définition est fondée sur la convention des Nations unies relative aux
droits de l'enfant[31],
et l’«autorité de contrôle»).
|
Article 4 contains definitions of terms
used in the Regulation. While some definitions are taken over from Directive
95/46/EC, others are modified, complemented with additional elements, or newly
introduced (‘personal data breach’ based on Article 2(h) of the e-privacy Directive
2002/58/EC[29]
as amended by Directive 2009/136/EC[30],
‘genetic data’, ‘biometric data’, ‘data concerning health’, ‘main establishment’,
‘representative’, ‘enterprise’, ‘group of undertakings’, ‘binding corporate
rules’, and of a ‘child’ which is based on the United Nation’s Convention on
the Rights of the Child[31],
and 'supervisory authority').
|
|
Dans la définition du consentement, le qualificatif
«explicite» est ajouté à la liste des critères afin d’éviter tout parallélisme
prêtant à confusion avec le consentement «indubitable» et de disposer d’une
définition unique et cohérente du consentement, garantissant que la personne
concernée donne son consentement en toute connaissance de cause.
|
In the definition
of consent, the criterion
'explicit' is added to avoid confusing parallelism with 'unambiguous' consent
and in order to have one single and consistent definition of consent, ensuring
the awareness of the data subject that, and to what, he or she gives consent.
|
|
3.4.2.
CHAPITRE II - PRINCIPES
|
3.4.2.
CHAPTER II - PRINCIPLES
|
|
L'article 5 énonce les principes relatifs au traitement des
données à caractère personnel, qui correspondent à ceux de l'article 6 de la
directive 95/46/CE. Des éléments nouveaux ont été ajoutés, tels que le principe
de transparence, des éclaircissements concernant le principe de minimisation
des données et l’instauration d'une responsabilité globale du responsable du
traitement.
|
Article 5 sets out the principles relating
to personal data processing, which correspond to those in Article 6 of
Directive 95/46/EC. Additional new elements are in particular the transparency
principle, the clarification of the data minimisation principle and the establishment
of a comprehensive responsibility and liability of the controller.
|
|
L'article 6 définit, sur la base de l'article 7 de la
directive 95/46/CE, les critères de licéité du traitement, qui sont précisés en
ce qui concerne la mise en balance des intérêts, et le respect des obligations
légales et de l'intérêt général.
|
Article 6 sets out, based on Article 7 of
Directive 95/46/EC, the criteria for lawful processing, which are further
specified as regards the balance of interest criterion, and the compliance with
legal obligations and public interest.
|
|
L’article 7 précise les conditions auxquelles le
consentement peut valablement fonder un traitement licite.
|
Article 7 clarifies the conditions for
consent to be valid as a legal ground for lawful processing.
|
|
L'article 8 fixe d’autres conditions de licéité pour le
traitement des données à caractère personnel relatives aux enfants, en ce qui
concerne les services de la société de l’information qui sont directement
proposés à ces derniers.
|
Article 8 sets out further conditions for
the lawfulness of the processing of personal data of children in relation to information
society services offered directly to them.
|
|
L'article 9, qui s’inspire de l’article 8 de la directive
95/46/CE, prévoit une interdiction générale des traitements portant sur des
catégories particulières de données à caractère personnel, et les exceptions à
cette règle générale.
|
Article 9 sets out the general prohibition
for processing special categories of personal data and the exceptions from this
general rule, building on Article 8 of the Directive 95/46/EC.
|
|
L’article 10 précise que le responsable du traitement n’est
pas tenu d’obtenir des informations supplémentaires pour identifier la personne
concernée à la seule fin de respecter une disposition du présent règlement.
|
Article 10 clarifies that the controller is
not obliged to acquire additional information in order to identify the data
subject for the sole purpose of complying with any provision of this
Regulation.
|
|
3.4.3.
CHAPITRE III - DROITS DE LA PERSONNE CONCERNÉE
3.4.3.1.
Section 1 – Transparence et modalités
|
3.4.3.
CHAPTER III - RIGHTS OF THE DATA SUBJECT
3.4.3.1.
Section 1 – Transparency and modalities
|
|
L'article 11 introduit l'obligation, pour les responsables
du traitement, de fournir des informations transparentes, facilement
accessibles et intelligibles, qui s’inspire notamment de la résolution de
Madrid relative à des normes internationales en matière de protection des
données à caractère personnel et de la vie privée[32].
|
Article 11 introduces the obligation on
controllers to provide transparent and easily accessible and understandable
information, inspired in particular by the Madrid Resolution on international standards
on the protection of personal data and privacy[32].
|
|
L'article 12 oblige le responsable du traitement à
prévoir des procédures et des mécanismes permettant à la personne concernée
d’exercer ses droits, notamment les moyens d’effectuer une demande par voie
électronique, la fixation d’un délai de réponse à la demande de la personne
concernée et la motivation des refus.
|
Article 12 obliges the controller to provide
procedures and mechanism for exercising the data subject's rights, including
means for electronic requests, requiring response to the data subject's request
within a defined deadline, and the motivation of refusals.
|
|
L’article 13 prévoit des droits en faveur des
destinataires inspirés de l'article 12, point c), de la
directive 95/46/CE et étendus à tous les destinataires, y compris les responsables
conjoints du traitement et les sous‑traitants.
|
Article 13 provides rights in relation to
recipients, based on Article 12(c) of Directive 95/46/EC, extended to all
recipients, including joint controllers and processors.
|
|
3.4.3.2.
Section 2 - Information et accès aux données
|
3.4.3.2.
Section 2 – Information and access to data
|
|
L’article 14 précise les informations que le responsable du
traitement est tenu de fournir à la personne concernée et en ajoute par rapport
aux articles 10 et 11 de la directive 95/46/CE, notamment la durée de
conservation, le droit d’introduire une réclamation, les transferts
internationaux et la source des données. Il reprend également les dérogations
prévues dans la directive 95/46/CE, par exemple l’absence d’obligation
d’information si la législation prévoit expressément l’enregistrement ou la
communication des données. Cela pourrait, par exemple, s’appliquer aux
procédures engagées par une autorité de concurrence, une administration fiscale
ou douanière, ou un service chargé des questions de sécurité sociale.
|
Article 14 further specifies the
controller's information obligations towards the data subject, building on
Articles 10 and 11 of Directive 95/46/EC, providing additional information to the
data subject, including on the storage period, the right to lodge a complaint,
in relation to international transfers and to the source from which the data
are originating. It also maintains the possible derogations in Directive
95/46/EC, e.g. there will be no such obligation if the recording or disclosure
are expressly provided by law. This could apply for example in proceedings by
competition authorities, tax or customs administrations, or services competent
for social security matters.
|
|
L’article 15 confère à la personne concernée un droit
d'accès aux données à caractère personnel la concernant, tout comme le faisait
l’article 12, point a), de la directive 95/46/CE, en y ajoutant
de nouveaux éléments tels que l’obligation d’informer les personnes concernées
de la durée de conservation, de leur droit à rectification et à l'effacement et
de leur droit de réclamation.
|
Article 15 provides the data subject's
right of access to their personal data, building on Article 12(a) of Directive
95/46/EC and adding new elements, such as to inform the data subjects of the
storage period, and of the rights to rectification and to erasure and to lodge
a complaint.
|
|
3.4.3.3.
Section 3 – Rectification et effacement
|
3.4.3.3.
Section 3 – Rectification and erasure
|
|
L'article 16 confère à la personne concernée un droit à
rectification, sur la base de l’article 12, point b), de la
directive 95/46/CE.
|
Article 16 sets out the data subject's
right to rectification, based on Article 12(b) of Directive 95/46/EC.
|
|
L’article 17 lui confère, quant à lui, un droit à l’oubli
numérique et à l'effacement. Il développe et précise le droit d’effacement
prévu à l’article 12, point b), de la directive 95/46/CE et fixe
les conditions du droit à l’oubli numérique, notamment l’obligation qui est
faite au responsable du traitement ayant rendu publiques des données à
caractère personnel d’informer les tiers de la demande de la personne concernée
d'effacer tout lien vers ces données ou les copies ou reproductions qui en ont
été faites. Il intègre aussi le droit de limiter le traitement dans certains
cas, en évitant le terme équivoque de «verrouillage».
|
Article 17 provides the data subject's
right to be forgotten and to erasure. It further elaborates and specifies the
right of erasure provided for in Article 12(b) of Directive 95/46/EC and provides
the conditions of the right to be forgotten, including the obligation of the
controller which has made the personal data public to inform third parties on
the data subject's request to erase any links to, or copy or replication of
that personal data. It also integrates the right to have the processing
restricted in certain cases, avoiding the ambiguous terminology “blocking”.
|
|
L'article 18 confère à la personne concernée un nouveau
droit, le droit à la portabilité des données, c’est-à-dire celui de transmettre
des données d’un système de traitement automatisé à un autre, sans que le
responsable du traitement ne puisse y faire obstacle. À titre de condition
préalable et pour améliorer l’accès des personnes physiques aux données à
caractère personnel les concernant, il prévoit le droit d’obtenir ces données
du responsable du traitement dans un format électronique structuré et
couramment utilisé.
|
Article 18 introduces the data subject's
right to data portability, i.e. to transfer data from one electronic processing
system to and into another, without being prevented from doing so by the
controller. As a precondition and in order to further improve access of
individuals to their personal data, it provides the right to obtain from the
controller those data in a structured and commonly used electronic format.
|
|
3.4.3.4.
Section 4 — Droit d'opposition et profilage
|
3.4.3.4.
Section 4 – Right to object and profiling
|
|
L’article 19 confère à la personne concernée un droit
d’opposition. Il est fondé sur l’article 14 de la directive 95/46/CE,
auquel il apporte quelques modifications, notamment en ce qui concerne la
charge de la preuve et son application au marketing direct.
|
Article 19 provides for the data subject's
rights to object. It is based on Article 14 of Directive 95/46/EC, with some
modifications, including as regards the burden of proof and its application to
direct marketing.
|
|
L'article 20 porte sur le droit
de la personne concernée de ne pas être soumise à une mesure fondée sur le
profilage. Il est inspiré de l’article 15, paragraphe 1, de la
directive 95/46 relatif aux décisions individuelles automatisées, qu'il
complète et assortit de garanties supplémentaires, et tient compte de la
recommandation du Conseil de l’Europe concernant le profilage[33].
|
Article 20 concerns
the data subject's right not to be subject to a measure based on profiling. It builds
on, with modifications and additional safeguards, Article 15(1) of Directive
95/46 on automated individual decisions, and takes account of the Council of
Europe's recommendation on profiling[33].
|
|
3.4.3.5.
Section 5 – Limitations
|
3.4.3.5.
Section 5 – Restrictions
|
|
L’article 21 précise dans
quelle mesure l’Union ou les États membres peuvent maintenir ou introduire des
limitations aux principes énoncés à l’article 5 et aux droits de la
personne concernée prévus aux articles 11 à 20 et à l’article 32.
Cette disposition repose sur l’article 13 de la directive 95/46/CE et
sur les exigences découlant de la charte des droits fondamentaux et de la
convention européenne de sauvegarde des droits de l'homme et des libertés
fondamentales, telles qu’elles ont été interprétées par la Cour de justice de
l'Union européenne et par la Cour européenne des droits de l’homme.
|
Article 21
clarifies the empowerment for the Union or Member States to maintain or
introduce restrictions of principles laid down in Article 5 and of the data
subject's rights laid down in Articles 11 to 20 and in Article 32. This
provision is based on Article 13 of Directive 95/46/EC and on the requirements
stemming from the Charter of Fundamental Rights and the European Convention for
the Protection of Human Rights and Fundamental Freedoms, as interpreted by the
Court of Justice of the EU and the European Court of Human Rights.
|
|
3.4.4.
CHAPITRE IV - RESPONSABLE DU TRAITEMENT ET SOUS‑TRAITANT
3.4.4.1.
Section 1 — Obligations générales
|
3.4.4.
CHAPTER IV - CONTROLLER AND PROCESSOR
3.4.4.1.
Section 1 – General obligations
|
|
L’article 22 tient compte du débat sur un «principe de
responsabilité» et décrit en détail les obligations incombant au responsable du
traitement pour se conformer au présent règlement et en apporter la preuve,
notamment par l'adoption de règles internes et de mécanismes à cet effet.
|
Article 22 takes account of the debate on a
"principle of accountability" and describes in detail the obligation
of responsibility of the controller to comply with this Regulation and to
demonstrate this compliance, including by way of adoption of internal policies
and mechanisms for ensuring such compliance.
|
|
L'article 23 définit les obligations du responsable du
traitement qui découlent des principes de protection des données dès la
conception et de protection des données par défaut.
|
Article 23 sets out the obligations of the
controller arising from the principles of data protection by design and by
default.
|
|
L’article 24 relatif aux responsables conjoints du
traitement précise les responsabilités de ces derniers en ce qui concerne leurs
relations internes et à l’égard de la personne concernée.
|
Article 24 on joint controllers clarifies
the responsibilities of joint controllers as regards their internal
relationship and towards the data subject.
|
|
L'article 25 oblige, dans certaines circonstances, les
responsables du traitement qui ne sont pas établis dans l’Union à y désigner un
représentant, lorsque le règlement s’applique à leurs activités de traitement.
|
Article 25 obliges under certain conditions
controllers not established in the Union, where the Regulation applies to their
processing activities, to designate a representative in the Union.
|
|
L'article 26 précise la fonction de sous‑traitant et
les obligations qui y sont attachées. Il est en partie fondé sur
l’article 17, paragraphe 2, de la directive 95/46/CE, auquel il ajoute de
nouveaux éléments, notamment le fait qu’un sous‑traitant qui traite des données
d'une autre manière que celle prévue dans les instructions du responsable du
traitement doit être considéré comme responsable conjoint du traitement.
|
Article 26 clarifies the position and
obligation of processors, partly based on Article 17(2) of Directive 95/46/EC,
and adding new elements, including that a processor who processes data beyond
the controller's instructions is to be considered as a joint controller.
|
|
L'article 27 relatif au traitement effectué sous l'autorité
du responsable du traitement et du sous‑traitant est fondé sur l'article 16
de la directive 95/46/CE.
|
Article 27 on the processing under the
authority of the controller and processor is based on Article 16 of Directive
95/46/EC.
|
|
L’article 28 introduit l’obligation, pour les
responsables du traitement et les sous‑traitants, de conserver une trace
documentaire des opérations de traitement sous leur responsabilité, au lieu de
la notification générale à l'autorité de contrôle exigée par l’article 18,
paragraphe 1, et l'article 19 de la directive 95/46/CE.
|
Article 28 introduces the obligation for
controllers and processors to maintain documentation of the processing
operations under their responsibility, instead of a general notification to the
supervisory authority required by Articles 18(1) and 19 of Directive 95/46/EC.
|
|
L’article 29 précise les obligations qui incombent au
responsable du traitement et au sous‑traitant dans le cadre de leur coopération
avec l’autorité de contrôle.
|
Article 29 clarifies the obligations of the
controller and the processor for the co-operation with the supervisory
authority.
|
|
3.4.4.2.
Section 2 – Sécurité des données
|
3.4.4.2.
Section 2 – Data security
|
|
L'article 30 oblige le responsable du traitement et le sous‑traitant
à mettre en œuvre les mesures appropriées pour assurer la sécurité du
traitement. Fondé sur l'article 17, paragraphe 1, de la directive 95/46/CE,
il étend cette obligation aux sous‑traitants, indépendamment du contrat conclu
avec le responsable du traitement.
|
Article 30 obliges the controller and the
processor to implement appropriate measures for the security of processing, based
on Article 17(1) of Directive 95/46/EC, extending that obligation to
processors, irrespective of the contract with the controller.
|
|
Les articles 31 et 32 introduisent une obligation de
notification des violations de données à caractère personnel, inspirée de la
notification des violations de données à caractère personnel prévue à l’article
4, paragraphe 3, de la directive 2002/58/CE («vie privée et communications
électroniques»).
|
Articles 31 and 32 introduce an obligation
to notify personal data breaches, building on the personal data breach
notification in Article 4(3) of the e-privacy Directive 2002/58/EC.
|
|
3.4.4.3.
Section 3 – Évaluation de la protection des données et autorisation
préalable
|
3.4.4.3.
Section 3 – Data protection impact assessment
and prior authorisation
|
|
L’article 33 introduit l’obligation, pour les responsables
du traitement et les sous‑traitants, d’effectuer une analyse d’impact relative
à la protection des données préalablement aux traitements présentant des
risques.
|
Article 33 introduces the obligation of
controllers and processors to carry out a data protection impact assessment
prior to risky processing operations.
|
|
L'article 34, qui développe la notion de contrôles
préalables définie à l’article 20 de la directive 95/46/CE, concerne les
cas dans lesquels l'autorisation et la consultation de l’autorité de contrôle
sont obligatoires avant le traitement.
|
Article 34 concerns the cases where authorisation
by, and consultation of, the supervisory authority is mandatory prior to the
processing, building on the concept of prior checking in Article 20 of
Directive 95/46/EC.
|
|
3.4.4.4.
Section 4 – Délégué à la protection des données
|
3.4.4.4.
Section 4 – Data protection officer
|
|
L'article 35 introduit l’obligation de désigner un délégué à
la protection des données pour le secteur public et, dans le secteur privé,
pour les grandes entreprises, ou lorsque les activités de base du responsable
du traitement ou du sous-traitant consistent en des traitements qui exigent un
suivi régulier et systématique. Cette disposition s’inscrit dans la continuité
de l’article 18, paragraphe 2, de la directive 95/46/CE, qui prévoyait la
possibilité pour les États membres d'introduire une telle obligation à la place
de l’obligation de notification générale.
|
Article 35 introduces a mandatory data
protection officer for the public sector, and, in the private sector, for large
enterprises or where the core activities of the controller or processor consist
of processing operations which require regular and systematic monitoring. This
builds on Article 18(2) of Directive 95/46/EC which provided the possibility
for Member States to introduce such requirement as a surrogate of a general
notification requirement.
|
|
L'article 36 définit la fonction du délégué à la protection
des données.
|
Article 36 sets out the position of the
data protection officer.
|
|
L’article 37 prévoit les principales tâches du délégué à la
protection des données.
|
Article 37 provides the core tasks of the
data protection officer.
|
|
3.4.4.5.
Section 5 – Codes de conduite et certification
|
3.4.4.5.
Section 5 – Codes of conduct and certification
|
|
L’article 38 porte sur les codes de conduite. Il
développe la notion figurant à l’article 27, paragraphe 1, de la
directive 95/46/CE, précise le contenu des codes et des procédures, et
habilite la Commission à se prononcer sur l’applicabilité générale des codes de
conduite.
|
Article 38 concerns codes of conduct, building
on the concept of Article 27(1) of Directive 95/46/EC, clarifying the content
of the codes and the procedures and providing for the empowerment of the
Commission to decide on the general validity of codes of conduct.
|
|
L’article 39 introduit la
possibilité de mettre en place des mécanismes de certification ainsi que des
marques et labels en matière de protection des données.
|
Article 39 introduces
the possibility to establish certification mechanisms and data protection seals
and marks.
|
|
3.4.5.
CHAPITRE V - TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS
TIERS OU À DES ORGANISATIONS INTERNATIONALES
|
3.4.5.
CHAPTER V - TRANSFER OF PERSONAL DATA TO THIRD
COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
|
L’article 40 pose le principe général selon lequel le
respect des obligations énoncées dans ce chapitre est obligatoire pour tout
transfert de données à caractère personnel vers un pays tiers ou à une
organisation internationale, y compris les transferts ultérieurs.
|
Article 40 spells out, as a general
principle, that the compliance with the obligations in that chapter are
mandatory for any transfers of personal data to third countries or
international organisations, including onward transfers.
|
|
L'article 41 définit, sur la base de l'article 25 de la
directive 95/46/CE, les critères, conditions et procédures d'adoption d'une
décision de la Commission constatant un niveau de protection adéquat. Les critères
devant être pris en compte par la Commission aux fins de l’appréciation d’un
niveau de protection adéquat ou non incluent expressément l’État de droit,
l'existence d'un droit de recours judiciaire et un contrôle indépendant. Cet
article confirme désormais explicitement la faculté de la Commission
d’apprécier le niveau de protection assuré par un territoire ou un secteur de
traitement des données à l’intérieur d’un pays tiers.
|
Article 41 sets out the criteria,
conditions and procedures for the adoption of an adequacy decision by the
Commission, based on Article 25 of Directive 95/46/EC. The criteria which shall
be taken into account for the Commission’s assessment of an adequate or not
adequate level of protection include expressly the rule of law, judicial
redress and independent supervision. The article now confirms explicitly the possibility
for the Commission to assess the level of protection afforded by a territory or
a processing sector within a third country.
|
|
L’article 42 subordonne les transferts vers des pays tiers
pour lesquels la Commission n’a pas adopté de décision constatant un niveau de
protection adéquat, à la présentation de garanties appropriées, notamment des
clauses types de protection des données, des règles d'entreprise contraignantes
et des clauses contractuelles. La possibilité d'utiliser des clauses types de
protection des données de la Commission est tirée de l’article 26,
paragraphe 4, de la directive 95/46/CE. Une nouveauté réside dans le
fait que ces clauses types de protection des données peuvent désormais être également
adoptées par une autorité de contrôle et être déclarées, par la Commission,
généralement applicables. Les règles d'entreprise contraignantes sont à présent
expressément mentionnées dans le texte juridique. L’option des clauses
contractuelles offre une certaine souplesse au responsable du traitement ou au
sous‑traitant, mais est subordonnée à l’autorisation préalable d’une autorité
de contrôle.
|
Article 42 requires for transfers to third
countries, where no adequacy decision has been adopted by the Commission, to
adduce appropriate safeguards, in particular standard data protection clauses, binding
corporate rules and contractual clauses. The possibility of making use of
Commission standard data protection clauses is based on Article 26(4) of
Directive 95/46/EC. As a new component, such standard data protection clauses
may now also be adopted by a supervisory authority and be declared generally
valid by the Commission. Binding corporate rules are now specifically mentioned
in the legal text. The option of contractual clauses gives certain flexibility
to the controller or processor, but is subject to prior authorisation by supervisory
authorities.
|
|
L’article 43 décrit plus en détail les conditions
applicables aux transferts encadrés par des règles d'entreprise contraignantes,
sur la base des pratiques et des exigences actuelles des autorités de contrôle.
|
Article 43 describes in further detail the
conditions for transfers by way of binding corporate rules, based on the
current practices and requirements of supervisory authorities.
|
|
L’article 44 définit et précise les dérogations autorisées
pour les transferts de données, sur la base des dispositions existantes de
l’article 26 de la directive 95/46/CE. Cette disposition s'applique
en particulier aux transferts de données qui sont nécessaires pour des motifs
importants d'intérêt général, par exemple en cas de transfert international de
données entre autorités de la concurrence, administrations fiscales ou
douanières, ou entre services chargés des questions de sécurité sociale ou de
la gestion des activités de pêche. En outre, un transfert de données peut, dans
certaines circonstances, être justifié par un intérêt légitime du responsable
du traitement ou du sous‑traitant, mais seulement après évaluation et
justification des circonstances de cette opération de transfert.
|
Article 44 spells out and clarifies the derogations
for a data transfer, based on the existing provisions of Article 26 of
Directive 95/46/EC. This applies in particular to data transfers required and
necessary for the protection of important grounds of public interest, for
example in cases of international data transfers between competition
authorities, tax or customs administrations, or between services competent for
social security matters or for fisheries management. In addition, a data
transfer may, under limited circumstances, be justified on a legitimate
interest of the controller or processor, but only after having assessed and
documented the circumstances of that transfer operation.
|
|
L'article 45 prévoit expressément l’élaboration de
mécanismes de coopération internationaux dans le domaine de la protection des
données à caractère personnel, entre la Commission et les autorités de contrôle
de pays tiers, notamment ceux qui sont réputés assurer un niveau de protection
adéquat, compte tenu de la recommandation de l’Organisation de coopération et
de développement économiques (OCDE) du 12 juin 2007 relative à la coopération
transfrontière dans l’application des législations protégeant la vie privée.
|
Article 45 explicitly provides for international
co-operation mechanisms for the protection of personal data between the
Commission and the supervisory authorities of third countries, in particular
those considered offering an adequate level of protection, taking into account the
Recommendation by the Organisation for Economic Co-operation and Development
(OECD) on cross-border co-operation in the enforcement of laws protecting privacy
of 12 June 2007.
|
|
3.4.6.
CHAPITRE VI – AUTORITÉS DE CONTRÔLE INDÉPENDANTES
3.4.6.1.
Section 1 – Statut d’indépendance
|
3.4.6.
CHAPTER VI - INDEPENDENT SUPERVISORY AUTHORITIES
3.4.6.1.
Section 1 – Independent status
|
|
L'article 46 fait obligation aux États membres de
mettre en place une ou plusieurs autorités de contrôle, ainsi que le requérait
l'article 28, paragraphe 1, de la directive 95/46/CE, et
d'élargir la mission de celles‑ci à la coopération entre elles et avec la
Commission.
|
Article 46 obliges Member States to
establish supervisory authorities, based on Article 28(1) of Directive 95/46/EC
and enlarging the mission of the supervisory authorities to co-operation with
each other and with the Commission.
|
|
L'article 47 clarifie les conditions garantissant
l'indépendance des autorités de contrôle, en application de la jurisprudence de
la Cour de justice de l'Union européenne[34],
et en s'inspirant également de l'article 44 du règlement (CE)
n° 45/2001[35].
|
Article 47 clarifies the conditions for the
independence of supervisory authorities, implementing case law by the Court of
Justice of the European Union[34],
inspired also by Article 44 of Regulation (EC) No 45/2001[35].
|
|
L'article 48 énonce les conditions générales
applicables aux membres de l’autorité de contrôle, en application de la
jurisprudence en la matière[36],
et en s'inspirant également de l'article 42, paragraphes 2 à 6,
du règlement (CE) n° 45/2001.
|
Article 48 provides general conditions for
the members of the supervisory authority, implementing the relevant case law[36] and inspired also by Article
42(2) to (6) of Regulation (EC) 45/2001.
|
|
L'article 49 définit les règles encadrant la mise en
place de l'autorité de contrôle, que les États membres devront fixer par voie
législative.
|
Article 49 sets out rules on the establishment
of the supervisory authority to be provided by the Member States by law.
|
|
Fondé sur l'article 28, paragraphe 7, de la
directive 95/46/CE, l’article 50 impose le secret professionnel aux
membres et au personnel de l'autorité de contrôle.
|
Article 50 lays down professional secrecy
of the members and staff of the supervisory authority and is based on Article
28(7) of Directive 95/46/EC.
|
|
3.4.6.2.
Section 2 – Fonctions et pouvoirs
|
3.4.6.2.
Section 2 – Duties and powers
|
|
L'article 51 définit la compétence des autorités de
contrôle. La règle générale, reposant sur l'article 28, paragraphe 6,
de la directive 95/46/CE (compétence sur le territoire l'État membre dont
l'autorité relève) est complétée par une nouvelle compétence, celle d'autorité
chef de file lorsque le responsable du traitement ou le sous-traitant est
établi dans plusieurs États membres, afin d’assurer une application uniforme
(«guichet unique»). Lorsqu'elles agissent dans le cadre de leur fonction
juridictionnelle, les juridictions sont dispensées de se soumettre à la
surveillance de l’autorité de contrôle, mais pas d’appliquer les règles
matérielles relatives à la protection de données.
|
Article 51 sets out the competence of the
supervisory authorities. The general rule, based on Article 28(6) of Directive
95/46/EC (competency on the territory of its own Member State), is complemented
by the new competence as lead authority in case that a controller or processor is
established in several Member States, to ensure unity of application ('one-stop
shop'). Courts, when acting in their judicial authority, are exempted from the
monitoring by the supervisory authority, but not from the application of the
substantive rules on data protection.
|
|
L'article 52 définit les fonctions de l'autorité de
contrôle, consistant notamment à recevoir et à examiner les réclamations, et à
sensibiliser le public aux risques, règles, garanties et droits existants.
|
Article 52 provides the duties of the
supervisory authority, including hearing and investigating complaints and
promoting the awareness of the public of risks, rules, safeguards and rights.
|
|
L'article 53 énonce les pouvoirs de l’autorité de
contrôle, en s'appuyant en partie sur l'article 28, paragraphe 3, de
la directive 95/46/CE et sur l'article 47 du règlement (CE)
n° 45/2001, et en y ajoutant quelques éléments nouveaux, dont le pouvoir
de sanctionner les infractions administratives.
|
Article 53 provides the powers of the
supervisory authority, in parts building on Article 28(3) of Directive 95/46/EC
and Article 47 of Regulation (EC) 45/2001, and adding some new elements,
including the power to sanction administrative offences.
|
|
L'article 54 fait obligation aux autorités de contrôle
d'établir des rapports d'activité annuels, ainsi que le requérait
l'article 28, paragraphe 5, de la directive 95/46/CE.
|
Article 54 obliges the supervisory
authorities to draw up annual activity reports, based on Article 28(5) of
Directive 95/46/EC.
|
|
3.4.7.
CHAPITRE VII ‑ COOPÉRATION ET COHÉRENCE
3.4.7.1.
Section 1 – Coopération
|
3.4.7.
CHAPTER VII - CO-OPERATION
AND CONSISTENCY
3.4.7.1.
Section 1 – Co-operation
|
|
L'article 55 instaure des règles explicites en matière
d'assistance mutuelle obligatoire et prévoit notamment les conséquences en cas
de refus de se conformer à la demande d’une autre autorité de contrôle, sur la
base de l'article 28, paragraphe 6, deuxième alinéa, de la directive 95/46/CE.
|
Article 55 introduces explicit rules on
mandatory mutual assistance, including consequences for non-compliance with the
request of another supervisory, building on Article 28(6), second subparagraph,
of Directive 95/46/EC.
|
|
L'article 56 établit des règles applicables aux
opérations conjointes, s'inspirant de l'article 17 de la
décision 2008/615/JAI du Conseil[37],
y compris le droit conféré aux autorités de contrôle de participer à ces
opérations.
|
Article 56 introduces rules on joint
operations, inspired by Article 17 of Council Decision 2008/615/JHA[37], including a right of
supervisory authorities to participate in such operations.
|
|
3.4.7.2.
Section 2 – Cohérence
|
3.4.7.2.
Section 2 – Consistency
|
|
L'article 57 met en place un mécanisme de contrôle de
la cohérence, en vue d'assurer une application uniforme des règles lorsqu'il
s'agit de traitements qui peuvent viser des personnes concernées dans plusieurs
États membres.
|
Article 57 introduces a consistency
mechanism for ensuring unity of application in relation to processing
operations which may concern data subjects in several Member States.
|
|
L'article 58 définit les procédures et conditions à
respecter pour demander l'avis du comité européen de la protection des données.
|
Article 58 sets out the procedures and
conditions for an opinion of the European Data Protection Board.
|
|
L'article 59 concerne les avis de la Commission
relatifs aux questions examinées dans le cadre du mécanisme de contrôle de la
cohérence, qui peuvent soit confirmer l’avis du comité européen de la
protection des données soit diverger de cet avis, et ceux relatifs aux projets
de mesure transmis par l’autorité de contrôle. Lorsque la question a été
soulevée par le comité européen de la protection des données en vertu de l’article 58, paragraphe 3, la Commission est
susceptible d’exercer son pouvoir discrétionnaire et, au besoin, de rendre un
avis.
|
Article 59 concerns Commission opinions on
matters dealt within the consistency mechanism, which may either reinforce the
opinion of the European Data Protection Board or express a divergence with that
opinion, and the draft measure of the supervisory authority. Where the matter
has been raised by the European Data Protection Board under Article 58(3) it
can be expected that the Commission will exercise its discretion and deliver an
opinion whenever necessary.
|
|
L'article 60 concerne la décision que la Commission
peut prendre pour contraindre une autorité compétente à suspendre son projet de
mesure lorsque cela est nécessaire pour garantir l'application correcte du
présent règlement.
|
Article 60 concerns Commission decisions requiring
the competent authority to suspend its draft measure when this is necessary to
ensure the correct application of this Regulation.
|
|
L'article 61 prévoit la possibilité d'adopter des
mesures provisoires, selon une procédure d'urgence.
|
Article 61 provides for a possibility for
the adoption of provisional measures, in an urgency procedure.
|
|
L'article 62 définit les conditions relatives à l'adoption
d'actes d’exécution de la Commission dans le cadre du mécanisme de contrôle de
la cohérence.
|
Article 62 sets out the requirements for
Commission implementing acts under the consistency mechanism.
|
|
L'article 63 prévoit
l’obligation d’exécuter la mesure prévue par une autorité de contrôle dans tous
les États membres concernés, et précise que l'application du mécanisme de
contrôle de la cohérence est une condition préalable à la validité juridique et
à l'exécution de la mesure concernée.
|
Article 63 provides
the obligation to enforce measures of a supervisory authority in all Member
States concerned, and sets out that the application of the consistency
mechanism is a precondition for the legal validity and enforcement of the
respective measure.
|
|
3.4.7.3.
Section 3 – Comité européen de la protection des données
|
3.4.7.3.
Section 3 – European Data Protection Board
|
|
L'article 64 institue le comité européen de la
protection des données, composé des directeurs des autorités de contrôle de
tous les États membres et du contrôleur européen à la protection des données.
Le comité européen de la protection des données remplace le groupe de
protection des personnes à l'égard du traitement des données à caractère
personnel créé par l'article 29 de la directive 95/46/CE.
L'article 65 précise que la Commission n'est pas membre de ce comité, mais
a le droit de participer à ses activités et de s'y faire représenter.
|
Article 64 establishes the European Data
Protection Board, consisting of the heads of the supervisory authority of each
Member State and of the European Data Protection Supervisor. The European Data
Protection Board replaces the Working Party on the Protection of Individuals
with regard to the Processing of Personal Data set up under Article 29 of
Directive 95/46/EC. It is clarified that the Commission is not a member of the
European Data Protection Board, but has the right to participate in the activities
and to be represented.
|
|
L'article 65 souligne et explicite l'indépendance du
comité européen de la protection des données.
|
Article 65 underlines and clarifies the independence
of the European Data Protection Board.
|
|
L'article 66 décrit les missions du comité européen de
la protection des données, sur la base de l'article 30, paragraphe 1,
de la directive 95/46/CE, et prévoit des éléments supplémentaires, pour
tenir compte de l'élargissement du domaine d'activités de ce comité, tant au
sein qu'à l'extérieur de l'Union. Pour être en mesure de réagir à des
situations d’urgence, la Commission a la possibilité de demander audit comité
de formuler un avis dans un délai donné.
|
Article 66 describes the tasks of the European
Data Protection Board, based on Article 30(1) of Directive 95/46/EC, and provides
for additional elements, reflecting the increased scope of activities of the
European Data Protection Board, within the Union and beyond. In order to be
able to react in urgent situations, it provides the Commission with the
possibility to ask for an opinion within a specific time-limit.
|
|
L'article 67 fait obligation au comité européen de la
protection des données de présenter un rapport annuel sur ses activités, sur la
base de l’article 30, paragraphe 6, de la directive 95/46/CE.
|
Article 67 requires the European Data
Protection Board to report annually on its activities, building on Article
30(6) of Directive 95/46/EC.
|
|
L'article 68 définit les procédures décisionnelles du
comité européen de la protection des données, y compris l’obligation d’adopter
un règlement intérieur devant également déterminer ses modalités de
fonctionnement.
|
Article 68 sets out the European Data
Protection Board’s decision making procedures, including the obligation to
adopt rules of procedure which should extend also to operational arrangements.
|
|
L'article 69 contient des dispositions relatives au
président et aux vice-présidents du comité européen de la protection des
données.
|
Article 69 contains the provisions on the chair
and on the deputy chairs of the European Data Protection Board.
|
|
L’article 70 définit les missions du président.
|
Article 70 sets out the tasks of the chair.
|
|
L'article 71 prévoit que le secrétariat du comité
européen de la protection des données est assuré par le contrôleur européen de
la protection des données et il précise les missions de ce secrétariat.
|
Article 71 sets out that the secretariat of
the European Data Protection Board shall be provided by the European Data
Protection Supervisor, and specifies the tasks of the secretariat.
|
|
L'article 72 définit les règles de confidentialité.
|
Article 72 provides for rules on the
confidentiality.
|
|
3.4.8.
CHAPITRE III – VOIES DE RECOURS, RESPONSABILITÉ ET SANCTIONS
|
3.4.8.
CHAPTER VIII - REMEDIES, LIABILITY AND SANCTIONS
|
|
L'article 73 prévoit le droit de toute personne
concernée de déposer une réclamation auprès d'une autorité de contrôle, sur la
base de l'article 28, paragraphe 4, de la directive 95/46/CE. Il
précise également les organismes, organisations ou associations habilités à
déposer une réclamation au nom de la personne concernée ou, en cas de violation
de données à caractère personnel, indépendamment de toute réclamation
introduite par une personne concernée.
|
Article 73 provides the right of any data
subject to lodge a complaint with a supervisory authority, based on Article
28(4) of Directive 95/46/EC. It specifies also the bodies, organisations or
associations which may lodge a complaint on behalf of the data subject or, in
case of a personal data breach, independently of a data subject's complaint.
|
|
L'article 74 concerne le droit de former un recours
juridictionnel contre une autorité de contrôle. Il s'appuie sur la disposition
générale figurant à l'article 28, paragraphe 3 de la
directive 95/46/CE et prévoit, en particulier, un recours juridictionnel
pour contraindre une autorité de contrôle à donner suite à une réclamation,
tout en clarifiant la compétence des juridictions de l'État membre où
l'autorité de contrôle est établie. Il prévoit également la possibilité que
l'autorité de contrôle de l'État membre de résidence de la personne concernée
intente, au nom de cette dernière, une action devant les juridictions d'un
autre État membre dans lequel l'autorité de contrôle compétente est établie.
|
Article 74 concerns the right of judicial
remedy against a supervisory authority. It builds on the general provision of
Article 28(3) of Directive 95/46/EC. It provides specifically a judicial remedy
obliging the supervisory authority to act on a complaint, and clarifies the
competence of the courts of the Member State where the supervisory authority is
established. It provides also the possibility that the supervisory authority of
the Member State in which the data subject is residing, may bring on behalf of
the data subject proceedings before the courts of another Member State where
the competent supervisory authority is established.
|
|
L'article 75 concerne le droit de former un recours
juridictionnel contre un responsable du traitement ou un sous-traitant,
s'appuyant sur l'article 22 de la directive 95/46/CE, et offre le
choix de saisir une juridiction dans l’État membre où le défendeur est établi
ou dans l'État membre de résidence de la personne concernée. Lorsqu'une
procédure portant sur la même question est pendante dans le cadre du mécanisme
de contrôle de la cohérence, la juridiction peut suspendre sa
procédure/surseoir à statuer, sauf en cas d'urgence.
|
Article 75 concerns the right to a judicial
remedy against a controller or processor, building on Article
22 of Directive 95/46/EC, and providing a choice to go to court in the Member
State where the defendant is established or where the data subject is residing.
Where proceedings concerning the same matter are pending in the consistency
mechanism, the court may suspend its proceedings, except in case of urgency.
|
|
L'article 76 fixe des règles communes pour les
procédures juridictionnelles, y compris le droit conféré à des organismes,
organisations ou associations de représenter les personnes concernées devant
les tribunaux, le droit des autorités de contrôle d'ester en justice et
l'obligation d'informer les juridictions de l’existence d'une procédure
parallèle dans un autre État membre, et la possibilité offerte aux juridictions
nationales de suspendre la procédure en pareil cas[38].
Les États membres sont tenus de veiller à ce que les actions en justice
aboutissent rapidement[39].
|
Article 76 lays down common rules for court
proceedings, including the rights of bodies, organisations or associations to
represent data subjects before the courts, the right of supervisory authorities
to engage in legal proceedings and the information of the courts on parallel
proceedings in another Member State, and the possibility for the courts to
suspend in such case the proceedings.[38]
There is an obligation on Member States to ensure rapid court actions.[39]
|
|
L'article 77 traite du droit à réparation et de
la responsabilité. Il s’appuie sur l’article 23 de la
directive 95/46/CE, étend ce droit aux dommages causés par les
sous-traitants et clarifie la responsabilité des responsables conjoints du
traitement et des sous-traitants.
|
Article 77 sets out the right to
compensation and liability. It builds on Article 23 of
Directive 95/46/EC, extends this right to damages caused by processors and
clarifies the liability of joint controllers and joint processors.
|
|
L'article 78 oblige les États membres à définir les
sanctions pénales applicables aux infractions aux dispositions du règlement et
à veiller à leur application.
|
Article 78 obliges Member States to lay
down rules on penalties, to sanction infringements of the Regulation, and to
ensure their implementation.
|
|
L'article 79 impose à
chaque autorité de contrôle de sanctionner les infractions administratives
énumérées dans cette disposition, par des amendes plafonnées à un certain
montant, en fonction des circonstances propres à chaque cas.
|
Article 79 obliges
each supervisory authority to sanction the administrative offences listed in
the catalogues set out in this provision, imposing fines up to maximum amounts,
with due regard to circumstances of each individual case.
|
|
3.4.9.
CHAPITRE IX ‑ DISPOSITIONS RELATIVES À DES SITUATIONS PARTICULIÈRES DE
TRAITEMENT DES DONNÉES
|
3.4.9.
CHAPTER IX - PROVISIONS RELATING TO SPECIFIC
DATA PROCESSING SITUATIONS
|
|
L'article 80 fait obligation aux États membres de
prévoir des exemptions et des dérogations à certaines dispositions du règlement
lorsqu'elles sont nécessaires pour concilier le droit à la protection des
données à caractère personnel avec le droit à la liberté d'expression. Il se
fonde sur l’article 9 de la directive 95/46/CE tel qu’il a été
interprété par la Cour de justice de l’UE[40].
|
Article 80 obliges Member States to adopt
exemptions and derogations from specific provisions of the Regulation where
necessary to reconcile the right to the protection of personal data with the
right of freedom of expression. It is based on Article 9 of Directive 95/46/EC,
as interpreted by the Court of Justice of the EU.[40]
|
|
L'article 81 oblige les États membres à prévoir, outre
les conditions applicables à des catégories particulières de données, des
garanties spécifiques en cas de traitement de données concernant la santé.
|
Article 81 obliges Member States, further
to the conditions for special categories of data, to ensure specific safeguards
for processing for health purposes.
|
|
L'article 82 habilite les États membres à adopter, par
voie législative, des règles spécifiques pour le traitement des données à
caractère personnel dans le secteur de l’emploi.
|
Article 82 provides an empowerment for
Member States to adopt specific laws for processing personal data in the
employment context.
|
|
L'article 83 définit des conditions spécifiques pour le
traitement de données à caractère personnel à des fins historiques,
statistiques et de recherche scientifique.
|
Article 83 sets out specific conditions for
processing personal data for historical, statistical and scientific research
purposes.
|
|
L'article 84 habilite les États membres à adopter des
règles spécifiques régissant l'accès des autorités de contrôle aux données à
caractère personnel et aux locaux, lorsque les responsables du traitement sont
soumis à des obligations de confidentialité.
|
Article 84 empowers Member States to adopt
specific rules on the access of supervisory authorities to personal data and to
premises, where controllers are subject to obligations of secrecy.
|
|
L'article 85 autorise les églises, en vertu de
l'article 17 du traité sur le fonctionnement de l'Union européenne, à
continuer à appliquer un ensemble complet de règles de protection des données,
à condition de les mettre en conformité avec le présent règlement.
|
Article 85 allows in the light of Article
17 of the Treaty on the Functioning of the European Union for the continuous
application of existing comprehensive data protection rules of churches if
brought in line with this Regulation.
|
|
3.4.10.
CHAPITRE X ‑ ACTES DÉLÉGUÉS ET ACTES D'EXÉCUTION
|
3.4.10.
CHAPTER X - DELEGATED ACTS AND IMPLEMENTING ACTS
|
|
L’article 86 contient les dispositions types
applicables à l’exercice de la délégation, conformément à l'article 290 du
TFUE. Ce dernier autorise le législateur à déléguer à la Commission le pouvoir
d'adopter des actes non législatifs de portée générale qui complètent ou
modifient certains éléments non essentiels d’un acte législatif (actes quasi
législatifs).
|
Article 86 contains the standard provisions
for the exercise of the delegations in line with Article 290 TFEU. This allows
the legislator to delegate to the Commission the power to adopt non-legislative
acts of general application to supplement or amend certain non-essential elements
of a legislative act (quasi-legislative acts).
|
|
L'article 87 contient la
disposition relative à la procédure de comité nécessaire pour conférer des
compétences d’exécution à la Commission, dans les cas où, conformément à
l'article 291 du TFUE, des conditions uniformes d'exécution d'actes
juridiquement contraignants de l'Union sont nécessaires. La procédure d’examen
s’applique.
|
Article 87 contains
the provision for the Committee procedure needed for conferring implementing
powers on the Commission in the cases where in accordance with Article 291 TFEU
uniform conditions for implementing legally binding acts of the Union are
needed. The examination procedure
applies.
|
|
3.4.11.
CHAPITRE XI ‑ DISPOSITIONS FINALES
|
3.4.11.
CHAPTER XI - FINAL PROVISIONS
|
|
L'article 88 abroge la directive 95/46/CE.
|
Article 88 repeals Directive 95/46/EC.
|
|
L'article 89 clarifie la relation avec la
directive 2002/58/CE («vie privée et communications électroniques») et
modifie celle-ci.
|
Article 89 clarifies the relationship to,
and amends, the e-privacy Directive 2002/58/EC.
|
|
L'article 90 fait obligation à la Commission d'évaluer
le règlement et de présenter des rapports à ce sujet.
|
Article 90 obliges the Commission to
evaluate the Regulation and submit related reports.
|
|
L'article 91 fixe la date d'entrée en vigueur du
règlement et définit une période transitoire en ce qui concerne la date de son
application.
|
Article 91 sets out the date of the entry
into force of the Regulation and a transitional phase as regards the date of
its application.
|
|
4. INCIDENCE BUDGÉTAIRE
|
4. BUDGETARY IMPLICATION
|
|
Les incidences budgétaires spécifiques de la proposition
concernent les missions dévolues au contrôleur européen de la protection des
données, comme il est indiqué dans la fiche financière législative jointe à la
présente proposition. Ces incidences nécessitent une reprogrammation de la
rubrique 5 du cadre financier.
|
The specific budgetary implications of the
proposal relate to the tasks allocated to the European Data Protection
Supervisor as specified in the legislative financial statements accompanying
this proposal. These implications require reprogramming of Heading 5 of the
Financial Perspective.
|
|
La proposition n'a pas d'incidence sur les dépenses de
fonctionnement.
|
The proposal has no implications on
operational expenditure.
|
|
La fiche financière législative accompagnant la présente
proposition de règlement couvre les incidences budgétaires du règlement
lui-même et celles de la directive sur la protection des données dans le
domaine de la police et de la justice.
|
The legislative financial statement
accompanying this proposal for a Regulation covers the budgetary impacts for
the Regulation itself and for the Directive on police and justice data
protection.
|
|
2012/0011 (COD)
|
2012/0011 (COD)
|
|
Proposition de
|
Proposal for a
|
|
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
|
REGULATION OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL
|
|
relatif à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et à la libre circulation de
ces données (règlement général sur la protection des données)
|
on the protection of individuals with
regard to the processing of personal data and on the free movement of such data
(General Data Protection Regulation)
|
|
(Texte présentant de l'intérêt pour l'EEE)
|
(Text with EEA relevance)
|
|
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION
EUROPÉENNE,
|
THE EUROPEAN PARLIAMENT AND THE
COUNCIL OF THE EUROPEAN UNION,
|
|
vu le traité sur le fonctionnement de l’Union européenne, et
notamment son article 16, paragraphe 2, et son article 114,
paragraphe 1,
|
Having regard to the Treaty on the
Functioning of the European Union, and in particular Article 16(2) and Article
114(1) thereof,
|
|
vu la proposition de la Commission européenne,
|
Having regard to the proposal from the
European Commission,
|
|
après transmission du projet d’acte législatif aux
parlements nationaux,
|
After transmission of the draft legislative
act to the national Parliaments,
|
|
vu l’avis du Comité économique et social européen[41],
|
Having regard to the opinion of the
European Economic and Social Committee[41],
|
|
après consultation du contrôleur européen de la protection
des données[42],
|
After consulting the European Data
Protection Supervisor[42],
|
|
statuant conformément à la procédure législative ordinaire,
|
Acting in accordance with the ordinary
legislative procedure,
|
|
considérant ce qui suit:
|
Whereas:
|
|
(1)
La protection des personnes physiques à l'égard du traitement des
données à caractère personnel est un droit fondamental. L’article 8,
paragraphe 1, de la charte des droits fondamentaux de l’Union européenne
et l’article 16, paragraphe 1, du traité sur le fonctionnement de
l’Union européenne disposent que toute personne a droit à la protection des
données à caractère personnel la concernant.
|
(1)
The protection of natural persons in relation to
the processing of personal data is a fundamental right. Article 8(1) of the
Charter of Fundamental Rights of the European Union and Article 16(1) of the
Treaty lay down that everyone has the right to the protection of personal data
concerning him or her.
|
|
(2)
Le traitement des données à caractère personnel est au service de
l’homme; les principes et les règles régissant la protection des personnes
physiques à l'égard du traitement des données les concernant devraient donc,
quelle que soit la nationalité ou la résidence de ces personnes, respecter
leurs libertés et leurs droits fondamentaux, notamment le droit à la protection
des données à caractère personnel. Le traitement des données devrait contribuer
à la réalisation d'un espace de liberté, de sécurité et de justice et d'une
union économique, au progrès économique et social, à la consolidation et à la
convergence des économies au sein du marché intérieur, ainsi qu'au bien-être
des personnes.
|
(2)
The processing of personal data is designed to
serve man; the principles and rules on the protection of individuals with
regard to the processing of their personal data should, whatever the
nationality or residence of natural persons, respect their fundamental rights
and freedoms, notably their right to the protection of personal data. It should
contribute to the accomplishment of an area of freedom, security and justice
and of an economic union, to economic and social progress, the strengthening
and the convergence of the economies within the internal market, and the
well-being of individuals.
|
|
(3)
La directive 95/46/CE du Parlement européen et du Conseil du
24 octobre 1995 relative à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données[43]
vise à harmoniser la protection des libertés et des droits fondamentaux des
personnes physiques en ce qui concerne les activités de traitement de données
et à garantir la libre circulation des données à caractère personnel entre les
États membres.
|
(3)
Directive 95/46/EC of the European Parliament
and of the Council of 24 October 1995 on the protection of individuals with
regard to the processing of personal data and on the free movement of such data[43] seeks to harmonise the protection
of fundamental rights and freedoms of natural persons in respect of processing
activities and to guarantee the free flow of personal data between Member
States.
|
|
(4)
L'intégration économique et sociale résultant du fonctionnement du
marché intérieur a conduit à une augmentation substantielle des flux
transfrontières. Les échanges de données entre acteurs économiques et sociaux,
publics et privés, se sont intensifiés dans l'ensemble de l'Union. Le droit de
l'Union appelle les autorités nationales des États membres à coopérer et à
échanger des données à caractère personnel, afin d'être en mesure de remplir
leurs missions ou d'accomplir des tâches pour le compte d'une autorité d'un
autre État membre.
|
(4)
The economic and social integration resulting
from the functioning of the internal market has led to a substantial increase
in cross-border flows. The exchange of data between economic and social, public
and private actors across the Union increased. National authorities in the
Member States are being called upon by Union law to co-operate and exchange
personal data so as to be able to perform their duties or carry out tasks on
behalf of an authority in another Member State.
|
|
(5)
La rapide évolution des technologies et la mondialisation ont créé de
nouveaux enjeux pour la protection des données à caractère personnel. La
collecte et le partage de données ont connu une augmentation spectaculaire. Les
nouvelles technologies permettent tant aux entreprises privées qu’aux pouvoirs
publics d’utiliser les données à caractère personnel comme jamais auparavant
dans le cadre de leurs activités. De plus en plus de personnes physiques
rendent des informations les concernant accessibles à tout un chacun, où qu’il
se trouve dans le monde. Les nouvelles technologies ont ainsi transformé
l’économie et les rapports sociaux, et elles exigent de faciliter davantage la
libre circulation des données au sein de l’Union et leur transfert vers des
pays tiers et à des organisations internationales, tout en assurant un niveau
élevé de protection des données à caractère personnel.
|
(5)
Rapid technological developments and
globalisation have brought new challenges for the protection of personal data.
The scale of data sharing and collecting has increased spectacularly.
Technology allows both private companies and public authorities to make use of
personal data on an unprecedented scale in order to pursue their activities.
Individuals increasingly make personal information available publicly and
globally. Technology has transformed both the economy and social life, and
requires to further facilitate the free flow of data within the Union and the
transfer to third countries and international organisations, while ensuring an
high level of the protection of personal data.
|
|
(6)
Cette évolution oblige à mettre en place dans l’Union un cadre de
protection des données plus solide et plus cohérent, assorti d'une application
rigoureuse des règles, compte tenu de l'importance de susciter la confiance qui
permettra à l’économie numérique de se développer dans l'ensemble du marché
intérieur. Les personnes physiques devraient maîtriser l'utilisation qui est
faite des données à caractère personnel les concernant, et la sécurité tant
juridique que pratique devrait être renforcée pour les particuliers, les
opérateurs économiques et les autorités publiques.
|
(6)
These developments require building a strong and
more coherent data protection framework in the Union, backed by strong
enforcement, given the importance to create the trust that will allow the
digital economy to develop across the internal market. Individuals should have control
of their own personal data and legal and practical certainty for individuals, economic
operators and public authorities should be reinforced.
|
|
(7)
Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses
principes, la directive 95/46/CE n'a pas permis d’éviter une fragmentation de
la mise en œuvre de la protection des données à caractère personnel dans
l'Union, une insécurité juridique et le sentiment, largement répandu dans le
public, que des risques importants subsistent, notamment dans l’environnement
en ligne. Si le niveau de protection des droits et libertés des personnes
physiques ‑ notamment du droit à la protection des données à caractère
personnel ‑ accordé dans les États membres à l’égard du traitement des données
à caractère personnel n'est pas identique, cela risque d'entraver la libre
circulation de ces données dans toute l'Union. Ces différences peuvent dès lors
constituer un obstacle à l'exercice des activités économiques au niveau de l’Union,
fausser la concurrence et empêcher les autorités de s'acquitter des obligations
qui leur incombent en vertu du droit de l'Union. Ces écarts de niveau de
protection résultent de l'existence de divergences dans la transposition et
l’application de la directive 95/46/CE.
|
(7)
The objectives and principles of Directive
95/46/EC remain sound, but it has not prevented fragmentation in the way data
protection is implemented across the Union, legal uncertainty and a widespread
public perception that there are significant risks for the protection of
individuals associated notably with online activity. Differences in the level
of protection of the rights and freedoms of individuals, notably to the right
to the protection of personal data, with regard to the processing of personal
data afforded in the Member States may prevent the free flow of personal data
throughout the Union. These differences may therefore constitute an obstacle to
the pursuit of economic activities at the level of the Union, distort
competition and impede authorities in the discharge of their responsibilities
under Union law. This difference in levels of protection is due to the
existence of differences in the implementation and application of Directive
95/46/EC.
|
|
(8)
Afin d'assurer la cohérence et un degré élevé de protection des
personnes, et de lever les obstacles à la circulation des données à caractère
personnel, le niveau de protection des droits et des libertés des personnes à
l'égard du traitement de ces données devrait être équivalent dans tous les
États membres. Il convient dès lors d'assurer une application cohérente et
homogène des règles de protection des libertés et droits fondamentaux des
personnes physiques à l'égard du traitement des données à caractère personnel
dans l'ensemble de l'Union.
|
(8)
In order to ensure consistent and high level of protection
of individuals and to remove the obstacles to flows of personal data, the level
of protection of the rights and freedoms of individuals with regard to the
processing of such data should be equivalent in all Member States. Consistent
and homogenous application of the rules for the protection of the fundamental
rights and freedoms of natural persons with regard to the processing of
personal data should be ensured throughout the Union.
|
|
(9)
Une protection effective des données à caractère personnel dans toute
l'Union exige non seulement de renforcer et de préciser les droits des
personnes concernées, ainsi que les obligations de ceux qui effectuent ou
déterminent le traitement des données à caractère personnel, mais aussi de
conférer, dans les États membres, des pouvoirs équivalents de surveillance et
de contrôle de l'application des règles relatives à la protection des données à
caractère personnel, et de prévoir des sanctions équivalentes pour les
contrevenants.
|
(9)
Effective protection of personal data throughout
the Union requires strengthening and detailing the rights of data subjects and
the obligations of those who process and determine the processing of personal
data, but also equivalent powers for monitoring and ensuring compliance with
the rules for the protection of personal data and equivalent sanctions for
offenders in the Member States.
|
|
(10)
L’article 16, paragraphe 2, du traité donne mandat au
Parlement européen et au Conseil pour fixer les règles relatives à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel ainsi que les règles relatives à la libre circulation de
ces données.
|
(10)
Article 16(2) of the Treaty mandates the
European Parliament and the Council to lay down the rules relating to the
protection of individuals with regard to the processing of personal data and
the rules relating to the free movement of personal data.
|
|
(11)
Afin d'obtenir un niveau uniforme de protection des personnes physiques
dans toute l'Union, et d'éviter que des divergences n'entravent la libre
circulation des données au sein du marché intérieur, un règlement est
nécessaire pour garantir la sécurité juridique et la transparence aux
opérateurs économiques, notamment les micro, petites et moyennes entreprises,
pour assurer aux personnes de tous les États membres un même niveau de droits
opposables, et des obligations et responsabilités égales pour les responsables
du traitement des données et les sous‑traitants, de même que pour assurer une
surveillance cohérente du traitement des données à caractère personnel, des
sanctions équivalentes dans tous les États membres et une coopération efficace
entre les autorités de contrôle des différents États membres. Pour tenir compte
de la situation particulière des micro, petites et moyennes entreprises, le présent
règlement comporte un certain nombre de dérogations. Les institutions et
organes de l'Union, les États membres et leurs autorités de contrôle sont, en
outre, encouragés à prendre en considération les besoins spécifiques des micro,
petites et moyennes entreprises dans le cadre l'application du présent
règlement. Pour définir la notion de micro, petites et moyennes entreprises, il
convient de s'inspirer de la recommandation 2003/361/CE de la Commission
du 6 mai 2003 concernant la définition des micro, petites et moyennes
entreprises.
|
(11)
In order to ensure a consistent level of protection
for individuals throughout the Union and to prevent divergences hampering the
free movement of data within the internal market, a Regulation is necessary to
provide legal certainty and transparency for economic operators, including micro,
small and medium-sized enterprises, and to provide individuals in all Member
States with the same level of legally enforceable rights and obligations and
responsibilities for controllers and processors, to ensure consistent
monitoring of the processing of personal data, and equivalent sanctions in all
Member States as well as effective co-operation by the supervisory authorities
of different Member States. To take account of the specific situation of micro,
small and medium-sized enterprises, this Regulation includes a number of
derogations. In addition, the Union institutions and bodies, Member States and their
supervisory authorities are encouraged to take account of the specific needs of
micro, small and medium-sized enterprises in the application of this Regulation.
The notion of micro, small and medium-sized enterprises should draw upon
Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition
of micro, small and medium-sized enterprises.
|
|
(12)
La protection conférée par le présent règlement concerne les personnes
physiques, indépendamment de leur nationalité ou de leur lieu de résidence,
dans le cadre du traitement des données à caractère personnel. En ce qui concerne
le traitement de données relatives à des personnes morales, et en particulier
des entreprises dotées de la personnalité juridique, notamment le nom, la forme
juridique et les coordonnées de la personne morale, la protection conférée par
le présent règlement ne devrait pas pouvoir être invoquée. Cela devrait être
également le cas lorsque le nom de la personne morale contient le nom d’une ou
plusieurs personnes physiques.
|
(12)
The protection afforded by this Regulation
concerns natural persons, whatever their nationality or place of residence, in
relation to the processing of personal data. With regard to the processing of
data which concern legal persons and in particular undertakings established as
legal persons, including the name and the form of the legal person and the
contact details of the legal person, the protection of this Regulation should
not be claimed by any person. This should also apply where the name of the
legal person contains the names of one or more natural persons.
|
|
(13)
La protection des personnes devrait être neutre sur le plan
technologique et ne pas dépendre des techniques utilisées, sous peine de créer
de graves risques de contournement. Elle devrait s'appliquer aux traitements de
données à caractère personnel automatisés ainsi qu'aux traitements manuels si
les données sont contenues ou destinées à être contenues dans un fichier. Les
dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont
pas structurés selon des critères déterminés, ne devraient pas relever du champ
d'application du présent règlement.
|
(13)
The protection of individuals should be
technologically neutral and not depend on the techniques used; otherwise this
would create a serious risk of circumvention. The protection of individuals
should apply to processing of personal data by automated means as well as to
manual processing, if the data are contained or are intended to be contained in
a filing system. Files or sets of files as well as their cover pages, which are
not structured according to specific criteria, should not fall within the scope
of this Regulation.
|
|
(14)
Le présent règlement ne traite pas des questions de protection des
libertés et droits fondamentaux ou de libre circulation des données relatives à
des activités n'entrant pas dans le champ d'application du droit de l'Union; il
ne couvre pas non plus le traitement des données à caractère personnel par les
institutions, organes et organismes de l'Union, qui relève du
règlement (CE) n° 45/2001[44],
ni celui qui est fait par les États membres dans le contexte de leurs activités
ayant trait à la politique étrangère et de sécurité commune de l'Union.
|
(14)
This Regulation does not address issues of
protection of fundamental rights and freedoms or the free flow of data related
to activities which fall outside the scope of Union law, nor does it cover the
processing of personal data by the Union institutions, bodies, offices and
agencies, which are subject to Regulation (EC) No 45/2001[44], or the processing of personal
data by the Member States when carrying out activities in relation to the
common foreign and security policy of the Union.
|
|
(15)
Le présent règlement ne devrait pas s'appliquer aux traitements de
données à caractère personnel effectués par une personne physique, par exemple
un échange de correspondance ou la tenue d'un carnet d'adresses, qui sont
exclusivement personnels ou domestiques et sans but lucratif, donc sans lien
aucun avec une activité professionnelle ou commerciale. Elle ne devrait pas
valoir non plus pour les responsables du traitement de données ou leurs sous‑traitants
qui fournissent les moyens de traiter des données à caractère personnel pour de
telles activités personnelles ou domestiques.
|
(15)
This Regulation should not apply to processing
of personal data by a natural person, which are exclusively personal or
domestic, such as correspondence and the holding of addresses, and without any
gainful interest and thus without any connection with a professional or
commercial activity. The exemption should also not apply to controllers or
processors which provide the means for processing personal data for such
personal or domestic activities.
|
|
(16)
La protection des personnes physiques à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière ou d'exécution de sanctions pénales, et la libre circulation de
ces données font l’objet d’un instrument juridique spécifique au niveau de
l'Union. Le présent règlement ne devrait donc pas s'appliquer aux activités de
traitement effectuées à ces fins. Toutefois, le traitement de données à ces
fins par des autorités publiques devrait être régi par cet instrument juridique
plus spécifique au niveau de l'Union (à savoir la directive XX/YYY).
|
(16)
The protection of individuals with regard to the
processing of personal data by competent authorities for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and the free movement of such data, is subject
of a specific legal instrument at Union level. Therefore, this Regulation
should not apply to the processing activities for those purposes. However, data
processed by public authorities under this Regulation when used for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties should be governed by the more
specific legal instrument at Union level (Directive XX/YYY).
|
|
(17)
Le présent règlement devrait s'appliquer sans préjudice de la directive
2000/31/CE, et notamment de ses articles 12 et 15 relatifs à la
responsabilité des prestataires intermédiaires.
|
(17)
This Regulation should be without prejudice to
the application of Directive 2000/31/EC, in particular of the liability rules
of intermediary service providers in Articles 12 to 15 of that Directive.
|
|
(18)
Le présent règlement permet de prendre en compte, dans la mise en œuvre
de ses dispositions, le principe du droit d'accès du public aux documents
administratifs.
|
(18)
This Regulation allows the principle of public
access to official documents to be taken into account when applying the
provisions set out in this Regulation.
|
|
(19)
Tout traitement de données à caractère personnel intervenant dans le
cadre des activités d'un établissement d'un responsable du traitement ou sous‑traitant
situé sur le territoire de l'Union devrait être effectué conformément au
présent règlement, que le traitement lui-même se déroule à l'intérieur de
l'Union ou non. L'établissement suppose l'exercice effectif et réel d'une
activité au moyen d'une installation stable. La forme juridique retenue pour un
tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la
personnalité juridique, n'est pas déterminante à cet égard.
|
(19)
Any processing of personal data in the context
of the activities of an establishment of a controller or a processor in the Union
should be carried out in accordance with this Regulation, regardless of whether
the processing itself takes place within the Union or not. Establishment
implies the effective and real exercise of activity through stable
arrangements. The legal form of such arrangements, whether through a branch or
a subsidiary with a legal personality, is not the determining factor in this respect.
|
|
(20)
Afin d'éviter qu'une personne soit exclue de la protection qui lui est
garantie en vertu du présent règlement, le traitement de données à caractère
personnel concernant des personnes résidant dans l'Union, par un responsable du
traitement qui n'est pas établi dans l'Union, devrait être soumis au présent
règlement lorsque les activités de traitement sont liées à l'offre de biens ou
de services à ces personnes concernées, ou à l'observation de leur
comportement.
|
(20)
In order to ensure that individuals are not
deprived of the protection to which they are entitled under this Regulation, the
processing of personal data of data subjects residing in the Union by a
controller not established in the Union should be subject to this Regulation where
the processing activities are related to the offering of goods or services to
such data subjects, or to the monitoring of the behaviour of such data subjects.
|
|
(21)
Afin de déterminer si une activité de traitement peut être considérée
comme «observant le comportement» des personnes concernées, il y a lieu
d'établir si les personnes physiques sont suivies sur l'internet au moyen de
techniques de traitement de données consistant à appliquer un «profil» à un
individu, afin notamment de prendre des décisions le concernant ou d'analyser
ou de prévoir ses préférences, son comportement et sa disposition d'esprit.
|
(21)
In order to determine whether a processing
activity can be considered to ‘monitor the behaviour’ of data subjects, it
should be ascertained whether individuals are tracked on the internet with data
processing techniques which consist of applying a ‘profile’ to an individual,
particularly in order to take decisions concerning her or him or for analysing
or predicting her or his personal preferences, behaviours and attitudes.
|
|
(22)
Lorsque le droit national d’un État membre s’applique en vertu du droit
international public, le présent règlement devrait s'appliquer également à un
responsable du traitement de données qui n’est pas établi dans l’Union mais,
par exemple, dans une mission diplomatique ou un poste consulaire d'un État
membre.
|
(22)
Where the national law of a Member State applies
by virtue of public international law, this Regulation should also apply to a
controller not established in the Union, such as in a Member State's diplomatic
mission or consular post.
|
|
(23)
Il y a lieu d'appliquer les principes de protection à toute information
concernant une personne identifiée ou identifiable. Pour déterminer si une
personne est identifiable, il convient de considérer l'ensemble des moyens
susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du
traitement, soit par une autre personne, pour identifier ladite personne. Il
n'y a pas lieu d'appliquer les principes de protection aux données qui ont été
rendues suffisamment anonymes pour que la personne concernée ne soit plus
identifiable.
|
(23)
The principles of protection should apply to any
information concerning an identified or identifiable person. To determine
whether a person is identifiable, account should be taken of all the means
likely reasonably to be used either by the controller or by any other person to
identify the individual. The principles of data protection should not apply to
data rendered anonymous in such a way that the data subject is no longer
identifiable.
|
|
(24)
Lorsqu'elles utilisent des services en ligne, les personnes physiques se
voient associer des identifiants en ligne tels que des adresses IP ou des
témoins de connexion («cookies») par les appareils, applications, outils et
protocoles utilisés. Ces identifiants peuvent laisser des traces qui, combinées
aux identifiants uniques et à d’autres informations reçues par les serveurs,
peuvent servir à créer des profils et à identifier les personnes. Il en découle
que des numéros d’identification, des données de localisation, des identifiants
en ligne ou d’autres éléments spécifiques ne doivent pas nécessairement être considérés,
en soi, comme des données à caractère personnel dans tous les cas de figure.
|
(24)
When using online services, individuals may be
associated with online identifiers provided by their devices, applications,
tools and protocols, such as Internet Protocol addresses or cookie identifiers.
This may leave traces which, combined with unique identifiers and other
information received by the servers, may be used to create profiles of the
individuals and identify them. It follows that identification numbers, location
data, online identifiers or other specific factors as such need not necessarily
be considered as personal data in all circumstances.
|
|
(25)
Le consentement devrait être donné de manière explicite, selon toute
modalité appropriée permettant une manifestation de volonté libre, spécifique
et informée, consistant soit en une déclaration soit en un acte non équivoque
de la personne concernée, garantissant qu'elle consent bien en toute
connaissance de cause au traitement des données à caractère personnel, par
exemple en cochant une case lorsqu'elle consulte un site internet ou par le
biais de toute déclaration ou tout comportement indiquant clairement dans ce
contexte qu'elle accepte le traitement proposé de ses données à caractère
personnel. Il ne saurait dès lors y avoir de consentement tacite ou passif. Le
consentement donné devrait valoir pour toutes les activités de traitement
effectuées ayant la même finalité. Si le
consentement de la personne concernée est donné à la suite d'une demande par
voie électronique, cette demande doit être claire, concise et ne doit pas
inutilement perturber l'utilisation du service pour lequel il est accordé.
|
(25)
Consent should be given explicitly by any
appropriate method enabling a freely given specific and informed indication of
the data subject's wishes, either by a statement or by a clear affirmative
action by the data subject, ensuring that individuals are aware that they give
their consent to the processing of personal data, including by ticking a box
when visiting an Internet website or by any other
statement or conduct which clearly indicates in this context the data subject's
acceptance of the proposed processing of their personal data. Silence or
inactivity should therefore not constitute consent. Consent
should cover all processing activities carried out for the same purpose or
purposes. If the data subject's consent is to be given following an electronic
request, the request must be clear, concise and not unnecessarily disruptive to
the use of the service for which it is provided.
|
|
(26)
Les données à caractère personnel concernant la santé devraient
comprendre, en particulier, l'ensemble des données se rapportant à l'état de
santé d'une personne concernée; les informations relatives à l'enregistrement
du patient pour la prestation de services de santé; les informations relatives
aux paiements ou à l'éligibilité du patient à des soins de santé; un numéro ou
un symbole attribué à un patient, ou des informations détaillées le concernant,
destinés à l'identifier de manière univoque à des fins médicales; toute
information relative au patient recueillie dans le cadre de la prestation de
services de santé audit patient; des informations obtenues lors d'un contrôle
ou de l'examen d'un organe ou d'une substance corporelle, y compris des
échantillons biologiques; l'identification d'une personne en tant que
prestataire de soins de santé au patient; ou toute information concernant, par
exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un
traitement clinique ou l'état physiologique ou biomédical de la personne
concernée, indépendamment de sa source, qu'elle provienne par exemple d'un
médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif
médical ou d'une épreuve diagnostique in vitro.
|
(26)
Personal data relating to health should include
in particular all data pertaining to the health status of a data subject;
information about the registration of the individual for the provision of
health services; information about payments or eligibility for healthcare with
respect to the individual; a number, symbol or particular assigned to an
individual to uniquely identify the individual for health purposes; any
information about the individual collected in the course of the provision of
health services to the individual; information derived from the testing or
examination of a body part or bodily substance, including biological samples;
identification of a person as provider of healthcare to the individual; or any
information on e.g. a disease, disability, disease risk, medical history,
clinical treatment, or the actual physiological or biomedical state of the data
subject independent of its source, such as e.g. from a physician or other
health professional, a hospital, a medical device, or an in vitro diagnostic
test.
|
|
(27)
Le principal établissement d'un responsable du traitement ou d'un
sous-traitant devrait être déterminé en fonction de critères objectifs et
devrait supposer l’exercice effectif et réel d’activités de gestion déterminant
les décisions principales quant aux finalités, aux conditions et aux modalités
du traitement dans le cadre d'une installation stable. Ce critère ne devrait
pas dépendre du fait que le traitement ait effectivement lieu à cet endroit; la
présence et l'utilisation de moyens techniques et de technologies permettant le
traitement de données à caractère personnel ou la réalisation d'activités de ce
type ne constituent pas en soi l'établissement principal ni, dès lors, un
critère déterminant à cet égard. On entend par «établissement principal du sous‑traitant»
le lieu de son administration centrale dans l'Union.
|
(27)
The main establishment of a controller in the
Union should be determined according to objective criteria and should imply the
effective and real exercise of management activities determining the main
decisions as to the purposes, conditions and means of processing through stable
arrangements. This criterion should not depend whether the processing of
personal data is actually carried out at that location; the presence and use of
technical means and technologies for processing personal data or processing
activities do not, in themselves, constitute such main establishment and are
therefore no determining criteria for a main establishment. The main
establishment of the processor should be the place of its central
administration in the Union.
|
|
(28)
Un groupe d’entreprises devrait consister en une entreprise qui exerce
le contrôle et des entreprises contrôlées, la première devant être celle qui
peut exercer une influence dominante sur les autres du fait, par exemple, de la
détention du capital, d'une participation financière ou des règles qui la
régissent, ou du pouvoir de faire appliquer les règles relatives à la
protection des données à caractère personnel.
|
(28)
A group of undertakings should cover a
controlling undertaking and its controlled undertakings, whereby the
controlling undertaking should be the undertaking which can exercise a dominant
influence over the other undertakings by virtue, for example, of ownership,
financial participation or the rules which govern it or the power to have
personal data protection rules implemented.
|
|
(29)
Les données à caractère personnel relatives aux enfants nécessitent une
protection spécifique parce que ceux-ci peuvent être moins conscients des
risques, des conséquences, des garanties et de leurs droits en matière de traitement
des données. Afin de déterminer jusqu'à quel âge une personne est un enfant, le
règlement devrait reprendre la définition retenue par la convention des Nations
unies relative aux droits de l'enfant.
|
(29)
Children deserve specific protection of their
personal data, as they may be less aware of risks, consequences, safeguards and
their rights in relation to the processing of personal data. To determine when
an individual is a child, this Regulation should take over the definition laid
down by the UN Convention on the Rights of the Child.
|
|
(30)
Tout traitement de données à caractère personnel devrait être licite,
loyal et transparent à l'égard des personnes concernées. En particulier, les
finalités précises du traitement devraient être explicites et légitimes, et
déterminées lors de la collecte des données. Les données devraient être
adéquates, pertinentes et limitées au minimum nécessaire aux finalités pour
lesquelles elles sont traitées, ce qui exige notamment de veiller à ce que les
données collectées ne soient pas excessives et à ce que leur durée de
conservation soit limitée au strict minimum. Les données à caractère personnel
ne devraient être traitées que si la finalité du traitement ne peut être
atteinte par d'autres moyens. Il y a lieu de prendre toutes les mesures
raisonnables afin que les données à caractère personnel qui sont inexactes
soient rectifiées ou effacées. Afin de garantir que les données ne sont pas
conservées plus longtemps que nécessaire, des délais devraient être fixés par
le responsable du traitement en vue de leur effacement ou d'une révision
périodique.
|
(30)
Any processing of personal data should be
lawful, fair and transparent in relation to the individuals concerned. In
particular, the specific purposes for which the data are processed should be
explicit and legitimate and determined at the time of the collection of the
data. The data should be adequate, relevant and limited to the minimum
necessary for the purposes for which the data are processed; this requires in
particular ensuring that the data collected are not excessive and that the
period for which the data are stored is limited to a strict minimum. Personal
data should only be processed if the purpose of the processing could not be
fulfilled by other means. Every reasonable step should be taken to ensure that
personal data which are inaccurate are rectified or deleted. In order to ensure
that the data are not kept longer than necessary, time limits should be
established by the controller for erasure or for a periodic review.
|
|
(31)
Pour être licite, le traitement devrait être fondé sur le consentement
de la personne concernée ou sur tout autre fondement légitime prévu par la
législation, soit dans le présent règlement soit dans un autre acte législatif
de l'Union ou d'un État membre, ainsi que le prévoit le présent règlement.
|
(31)
In order for processing to be lawful, personal
data should be processed on the basis of the consent of the person concerned or
some other legitimate basis, laid down by law, either in this Regulation or in
other Union or Member State law as referred to in this Regulation.
|
|
(32)
Lorsque le traitement est fondé sur le consentement de la personne
concernée, c'est au responsable du traitement que devrait incomber la charge de
prouver que ladite personne a bien consenti au traitement. En particulier, dans
le contexte d’une déclaration écrite relative à une autre question, des
garanties devraient faire en sorte que la personne concernée donne son
consentement en toute connaissance de cause.
|
(32)
Where processing is based on the data subject's
consent, the controller should have the burden of proving that the data subject
has given the consent to the processing operation. In particular in the context
of a written declaration on another matter, safeguards should ensure that the
data subject is aware that and to what extent consent is given.
|
|
(33)
Pour garantir que le consentement soit libre, il y aurait lieu de préciser
qu'il ne constitue pas un fondement juridique valable si la personne ne dispose
pas d'une véritable liberté de choix et n'est, dès lors, pas en mesure de
refuser ou de se rétracter sans subir de préjudice.
|
(33)
In order to ensure free consent, it should be
clarified that consent does not provide a valid legal ground where the
individual has no genuine and free choice and is subsequently not able to
refuse or withdraw consent without detriment.
|
|
(34)
Le consentement ne devrait pas constituer un fondement juridique valable
pour le traitement de données à caractère personnel lorsqu'il existe un
déséquilibre manifeste entre la personne concernée et le responsable du
traitement, surtout lorsque la première se trouve dans une situation de dépendance
par rapport au second, notamment lorsque les données à caractère personnel
concernent le salarié et sont traitées par son employeur dans le cadre de leur
relation de travail. Lorsque le responsable du traitement est une autorité
publique, il n’y a déséquilibre que dans le cas d’opérations de traitement
spécifiques dans le cadre desquelles l’autorité publique peut, en vertu de ses
prérogatives de puissance publique, imposer une obligation. Dans ce cas, le
consentement ne saurait être réputé librement consenti, compte tenu de
l’intérêt de la personne concernée.
|
(34)
Consent should not provide a valid legal ground
for the processing of personal data, where there is a clear imbalance between
the data subject and the controller. This is especially the case where the data
subject is in a situation of dependence from the controller, among others,
where personal data are processed by the employer of employees' personal data
in the employment context. Where the controller is a public authority, there
would be an imbalance only in the specific data processing operations where the
public authority can impose an obligation by virtue of its relevant public
powers and the consent cannot be deemed as freely given, taking into account
the interest of the data subject.
|
|
(35)
Le traitement devrait être licite lorsqu'il est nécessaire dans le cadre
d'un contrat ou de la conclusion envisagée d'un contrat.
|
(35)
Processing should be lawful where it is
necessary in the context of a contract or the intended entering into a
contract.
|
|
(36)
Lorsque le traitement est réalisé conformément à une obligation légale à
laquelle est soumis le responsable du traitement, ou lorsque le traitement est
nécessaire à l'exécution d'une mission d'intérêt général ou relevant de
l'exercice de l'autorité publique, le traitement devrait avoir son fondement
juridique dans le droit de l’Union ou dans une loi nationale respectant les
conditions imposées par la charte des droits fondamentaux de l'Union européenne
pour toute limitation des droits et des libertés. Il appartient également au
droit de l'Union ou à la loi nationale de déterminer si le responsable du
traitement investi d'une mission d'intérêt général ou relevant de l'exercice de
l'autorité publique doit être une administration publique ou une autre personne
physique ou morale de droit public, ou de droit privé telle qu'une association
professionnelle.
|
(36)
Where processing is carried out in compliance
with a legal obligation to which the controller is subject or where processing
is necessary for the performance of a task carried out in the public interest
or in the exercise of an official authority, the processing should have a legal
basis in Union law, or in a Member State law which meets the requirements of
the Charter of Fundamental Rights of the European Union for any limitation of
the rights and freedoms. It is also for Union or national law to determine
whether the controller performing a task carried out in the public interest or
in the exercise of official authority should be a public administration or
another natural or legal person governed by public law, or by private law such
as a professional association.
|
|
(37)
Le traitement de données à caractère personnel devrait être également
considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt
essentiel à la vie de la personne concernée.
|
(37)
The processing of personal data should equally
be regarded as lawful where it is necessary to protect an interest which is
essential for the data subject's life.
|
|
(38)
Les intérêts légitimes du responsable du traitement peuvent constituer
un fondement juridique au traitement, à moins que ne prévalent les intérêts ou
les libertés et droits fondamentaux de la personne concernée. Ce point mérite
un examen attentif, surtout lorsque la personne concernée est un enfant, cette
catégorie de personnes nécessitant en effet une protection spécifique. La
personne concernée devrait pouvoir s'opposer au traitement des données la
concernant, pour des raisons tenant à sa situation personnelle, et
gratuitement. Afin d'assurer la transparence, le responsable du traitement
devrait être tenu d'informer expressément la personne concernée des intérêts
légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la
personne de s'opposer au traitement. Étant donné qu'il appartient au
législateur de fournir la base juridique autorisant les autorités publiques à
traiter des données, ce motif ne devrait pas valoir pour les traitements
effectués par ces autorités dans l'accomplissement de leur mission.
|
(38)
The legitimate interests of a controller may
provide a legal basis for processing, provided that the interests or the fundamental
rights and freedoms of the data subject are not overriding. This would need
careful assessment in particular where the data subject is a child, given that
children deserve specific protection. The data subject should have the right to
object the processing, on grounds relating to their particular situation and
free of charge. To ensure transparency, the controller should be obliged to explicitly
inform the data subject on the legitimate interests pursued and on the right to
object, and also be obliged to document these legitimate interests. Given that
it is for the legislator to provide by law the legal basis for public
authorities to process data, this legal ground should not apply for the
processing by public authorities in the performance of their tasks.
|
|
(39)
Le traitement des données relatives au trafic, dans la mesure
strictement nécessaire à la finalité de garantir la sécurité du réseau et des
informations, c’est-à-dire la capacité d’un réseau ou d’un système
d’information de résister, à un niveau de confiance donné, à des événements
accidentels ou à des actions illégales ou malveillantes qui compromettent la
disponibilité, l'authenticité, l’intégrité et la confidentialité de données
stockées ou transmises, ainsi que la sécurité des services connexes offerts ou
rendus accessibles via ces réseaux et systèmes, par les pouvoirs publics, des
équipes d'intervention en cas d'urgence informatique (CERT), des équipes de
réaction aux incidents touchant la sécurité informatique (CSIRT), des
fournisseurs de réseaux ou de services de communications électroniques, par des
fournisseurs de technologies et services de sécurité, constitue un intérêt
légitime du responsable des données. Il pourrait s'agir, par exemple,
d’empêcher l’accès non autorisé à des réseaux de communications électroniques
et la distribution de codes malveillants, et de faire cesser des attaques par
«déni de service» et des dommages touchant les systèmes de communications
informatiques et électroniques.
|
(39)
The processing of data to the extent strictly
necessary for the purposes of ensuring network and information security, i.e.
the ability of a network or an information system to resist, at a given level
of confidence, accidental events or unlawful or malicious actions that
compromise the availability, authenticity, integrity and confidentiality of
stored or transmitted data, and the security of the related services offered
by, or accessible via, these networks and systems, by public authorities, Computer
Emergency Response Teams – CERTs, Computer Security Incident Response Teams –
CSIRTs, providers of electronic communications networks and services and by
providers of security technologies and services, constitutes a legitimate
interest of the concerned data controller. This could, for example, include
preventing unauthorised access to electronic communications networks and
malicious code distribution and stopping ‘denial of service’ attacks and damage
to computer and electronic communication systems.
|
|
(40)
Le traitement des données à caractère personnel à d’autres fins ne
devrait être autorisé que s'il est compatible avec les finalités de la collecte
initiale des données, notamment lorsque le traitement est nécessaire à des fins
statistiques ou de recherche historique ou scientifique. Lorsque cette autre
finalité n'est pas compatible avec la finalité initiale de la collecte des
données, il convient que le responsable du traitement obtienne le consentement
de la personne concernée à cette autre finalité ou qu'il fonde le traitement
sur un autre motif légitime, en particulier lorsque le droit de l'Union ou la
législation de l'État membre dont relève le responsable des données le prévoit.
En tout état de cause, l'application des principes énoncés par le présent
règlement et, en particulier, de respecter l'obligation d'informer la personne
concernée au sujet de ces autres finalités devrait être assurée.
|
(40)
The processing of personal data for other
purposes should be only allowed where the processing is compatible with those
purposes for which the data have been initially collected, in particular where
the processing is necessary for historical, statistical or scientific research purposes.
Where the other purpose is not compatible with the initial one for which the
data are collected, the controller should obtain the consent of the data
subject for this other purpose or should base the processing on another
legitimate ground for lawful processing, in particular where provided by Union
law or the law of the Member State to which the controller is subject. In any
case, the application of the principles set out by this Regulation and in
particular the information of the data subject on those other purposes should
be ensured.
|
|
(41)
Les données à caractère personnel qui sont, par nature, particulièrement
sensibles et vulnérables du point de vue des droits fondamentaux et de la vie
privée méritent une protection spécifique. Ces données ne devraient pas faire
l'objet d'un traitement, à moins que la personne concernée n'y consente
expressément. Toutefois, des dérogations à cette interdiction devraient être
expressément prévues pour tenir compte de besoins spécifiques, en particulier
lorsque le traitement a lieu dans le cadre d'activités légitimes de certaines
associations ou fondations ayant pour finalité de permettre l'exercice des
libertés fondamentales.
|
(41)
Personal data which are, by their nature,
particularly sensitive and vulnerable in relation to fundamental rights or privacy,
deserve specific protection. Such data should not be processed, unless the data
subject gives his explicit consent. However, derogations from this prohibition should
be explicitly provided for in respect of specific needs, in particular where
the processing is carried out in the course of legitimate activities by certain
associations or foundations the purpose of which is to permit the exercise of
fundamental freedoms.
|
|
(42)
Les exceptions à l'interdiction du traitement des catégories de données
sensibles devraient également être autorisées si elles résultent d'une loi et,
sous réserve de garanties appropriées, afin de protéger les données à caractère
personnel et d'autres droits fondamentaux, dans le cas où des raisons d'intérêt
général le justifient et, en particulier, à des fins de santé publique, en ce
compris la protection de la santé, la protection sociale et la gestion des
services de santé, notamment pour assurer la qualité et l'efficience des
procédures de règlement des demandes de remboursement et de services dans le
régime d’assurance‑maladie, ou à des fins statistiques ou de recherche historique ou scientifique.
|
(42)
Derogating from the prohibition on processing
sensitive categories of data should also be allowed if done by a law, and
subject to suitable safeguards, so as to protect personal data and other fundamental
rights, where grounds of public interest so justify and in particular for
health purposes, including public health and social protection and the
management of health-care services, especially in order to ensure the quality
and cost-effectiveness of the procedures used for settling claims for benefits
and services in the health insurance system, or for historical, statistical and
scientific research purposes.
|
|
(43)
En outre, le traitement de données à caractère personnel par des
autorités publiques en vue de réaliser les objectifs, prévus par le droit
constitutionnel ou le droit international public, d'associations à caractère
religieux officiellement reconnues est effectué pour des raisons d'intérêt
général.
|
(43)
Moreover, the processing of personal data by
official authorities for achieving aims, laid down in constitutional law or
international public law, of officially recognised religious associations is
carried out on grounds of public interest.
|
|
(44)
Si, dans le cadre d'activités liées à des élections, le fonctionnement
du système démocratique suppose, dans un État membre, que les partis politiques
collectent des données relatives aux opinions politiques des personnes, le
traitement de telles données peut être autorisé pour des motifs d'intérêt
général, à condition que des garanties appropriées soient prévues.
|
(44)
Where in the course of electoral activities, the
operation of the democratic system requires in a Member State that political
parties compile data on people's political opinions, the processing of such
data may be permitted for reasons of public interest, provided that appropriate
safeguards are established.
|
|
(45)
Si les données qu’il traite ne lui permettent pas d'identifier une
personne physique, le responsable du traitement ne devrait pas être tenu
d'obtenir des informations supplémentaires pour identifier la personne
concernée à la seule fin de respecter une disposition du présent règlement.
Dans le cas d’une demande d’accès, il devrait être autorisé à demander d'autres
informations à la personne concernée, afin d'être en mesure de localiser les
données personnelles que cette personne recherche.
|
(45)
If the data processed by a controller do not
permit the controller to identify a natural person, the data controller should
not be obliged to acquire additional information in order to identify the data
subject for the sole purpose of complying with any provision of this
Regulation. In case of a request for access, the controller should be entitled
to ask the data subject for further information to enable the data controller
to locate the personal data which that person seeks.
|
|
(46)
Le principe de transparence veut que toute information adressée au
public ou à la personne concernée soit aisément accessible et facile à
comprendre, et formulée en termes simples et clairs. Ceci vaut tout
particulièrement lorsque, dans des domaines tels que la publicité en ligne, la
multiplication des acteurs et la complexité des technologies utilisées
empêchent la personne concernée de savoir exactement si des données à caractère
personnel la concernant sont collectées, par qui et dans quel but. Les enfants
nécessitant une protection spécifique, toute information et communication,
lorsque le traitement des données les vise spécifiquement, devrait être rédigée
en des termes simples et clairs que l’enfant peut aisément comprendre.
|
(46)
The principle of transparency requires that any
information addressed to the public or to the data subject should be easily
accessible and easy to understand, and that clear and plain language is used. This
is in particular relevant where in situations, such as online advertising, the
proliferation of actors and the technological complexity of practice makes it
difficult for the data subject to know and understand if personal data relating
to them are being collected, by whom and for what purpose. Given that children
deserve specific protection, any information and communication, where
processing is addressed specifically to a child, should be in such a clear and
plain language that the child can easily understand.
|
|
(47)
Des modalités devraient être prévues pour faciliter l'exercice, par la
personne concernée, des droits qui lui sont conférés par le présent règlement,
notamment les moyens de demander sans frais l'accès aux données, leur
rectification ou leur effacement, et d'exercer son droit d'opposition. Le
responsable du traitement devrait être tenu de répondre à la personne concernée
dans un délai donné et de motiver tout refus.
|
(47)
Modalities should be provided for facilitating
the data subject’s exercise of their rights provided by this Regulation,
including mechanisms to request, free of charge, in particular access to data,
rectification, erasure and to exercise the right to object. The controller
should be obliged to respond to requests of the data subject within a fixed
deadline and give reasons, in case he does not comply with the data subject's
request.
|
|
(48)
Le principe de traitement loyal et transparent exige que la personne
concernée soit informée, en particulier, de l'existence du traitement et de ses
finalités, de la durée pendant laquelle les données seront conservées, de
l’existence d’un droit d’accès, de rectification ou d’effacement, ainsi que de
son droit d'introduire une réclamation. Lorsque les données sont collectées
auprès de la personne concernée, il importe que celle‑ci sache également si
elle est obligée de fournir ces informations et à quelles conséquences elle
s'expose si elle ne les fournit pas.
|
(48)
The principles of fair and transparent
processing require that the data subject should be informed in particular of
the existence of the processing operation and its purposes, how long the data will
be stored, on the existence of the right of access, rectification or erasure
and on the right to lodge a complaint. Where the data are collected from the
data subject, the data subject should also be informed whether they are obliged
to provide the data and of the consequences, in cases they do not provide such
data.
|
|
(49)
L'information sur le traitement des données à caractère personnel
devrait être donnée à la personne concernée au moment où ces données sont
recueillies ou, si la collecte des données n'a pas lieu auprès de la personne
concernée, dans un délai raisonnable en fonction des circonstances propres à
chaque cas. Lorsque des données peuvent être légitimement divulguées à un autre
destinataire, il convient que la personne concernée soit informée lorsque ces
données sont divulguées pour la première fois audit destinataire.
|
(49)
The information in relation to the processing of
personal data relating to the data subject should be given to them at the time
of collection, or, where the data are not collected from the data subject,
within a reasonable period, depending on the circumstances of the case. Where
data can be legitimately disclosed to another recipient, the data subject
should be informed when the data are first disclosed to the recipient.
|
|
(50)
Toutefois, il n'est pas nécessaire d'imposer cette obligation si la
personne concernée dispose déjà de cette information, ou si l'enregistrement ou
la divulgation des données sont expressément prévus par la loi, ou si
l'information de la personne concernée se révèle impossible ou exige des efforts
disproportionnés. Tel pourrait être le cas, en particulier, des traitements à
des fins statistiques ou de recherche historique ou scientifique; à cet égard,
peuvent être pris en considération le nombre de personnes concernées,
l'ancienneté des données, ainsi que les mesures compensatrices éventuelles
adoptées.
|
(50)
However, it is not necessary to impose this
obligation where the data subject already disposes of this information, or
where the recording or disclosure of the data is expressly laid down by law, or
where the provision of information to the data subject proves impossible or
would involve disproportionate efforts. The latter could be particularly the
case where processing is for historical, statistical or scientific research purposes;
in this regard, the number of data subjects, the age of the data, and any
compensatory measures adopted may be taken into consideration.
|
|
(51)
Toute personne devrait avoir le droit d'accéder aux données qui ont été
collectées à son sujet et d'exercer ce droit facilement, afin de s'informer du
traitement qui en est fait et d'en vérifier la licéité. En conséquence, chaque
personne concernée devrait avoir le droit de connaître et de se faire
communiquer, en particulier, la finalité du traitement des données, la durée de
leur conservation, l'identité des destinataires, la logique qui sous‑tend le
traitement des données et les conséquences qu'il pourrait avoir, au moins en
cas de profilage. Ce droit ne devrait pas porter atteinte aux droits et
libertés d’autrui, notamment au secret des affaires, ni à la propriété
intellectuelle, notamment au droit d'auteur protégeant le logiciel. Toutefois,
ces considérations ne sauraient aboutir au refus de toute information de la
personne concernée.
|
(51)
Any person should have the right of access to
data which has been collected concerning them, and to exercise this right
easily, in order to be aware and verify the lawfulness of the processing. Every
data subject should therefore have the right to know and obtain communication
in particular for what purposes the data are processed, for what period, which
recipients receive the data, what is the logic of the data that are undergoing the
processing and what might be, at least when based on profiling, the
consequences of such processing. This right should not adversely affect the
rights and freedoms of others, including trade secrets or intellectual property
and in particular the copyright protecting the software. However, the result of
these considerations should not be that all information is refused to the data
subject.
|
|
(52)
Le responsable du traitement devrait prendre toutes les mesures
raisonnables afin de s’assurer de l’identité d’une personne concernée demandant
l'accès aux données, en particulier dans le contexte des services et
identifiants en ligne. Un responsable des données ne devrait pas conserver des
données à caractère personnel à la seule fin d'être en mesure de réagir à d'éventuelles
demandes.
|
(52)
The controller should use all reasonable
measures to verify the identity of a data subject that requests access, in
particular in the context of online services and online
identifiers. A controller should not retain personal data for the unique
purpose of being able to react to potential requests.
|
|
(53)
Toute personne devrait avoir le droit de faire rectifier des données à
caractère personnel la concernant, et disposer d'un «droit à l’oubli numérique»
lorsque la conservation de ces données n'est pas conforme au présent règlement.
En particulier, les personnes concernées devraient avoir le droit d'obtenir que
leurs données soient effacées et ne soient plus traitées, lorsque ces données
ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été
recueillies ou traitées, lorsque les personnes concernées ont retiré leur
consentement au traitement ou lorsqu'elles s'opposent au traitement de données
à caractère personnel les concernant ou encore, lorsque le traitement de leurs
données à caractère personnel n'est pas conforme au présent règlement. Ce droit
est particulièrement important lorsque la personne concernée a donné son
consentement à l'époque où elle était enfant et donc mal informée des risques
inhérents au traitement, et qu'elle souhaite par la suite supprimer ces données
à caractère personnel, en particulier sur l'internet. Toutefois, la
conservation des données devrait être autorisée lorsqu'elle est nécessaire à
des fins statistiques ou de recherche historique ou scientifique, pour des
motifs d'intérêt général dans le domaine de la santé publique, ou à l'exercice
du droit à la liberté d'expression, si elle est requise par la loi ou s'il
existe une raison de limiter le traitement des données au lieu de les effacer.
|
(53)
Any person should have the right to have
personal data concerning them rectified and a 'right to be forgotten' where the
retention of such data is not in compliance with this Regulation. In
particular, data subjects should have the right that their personal data are
erased and no longer processed, where the data are no longer necessary in
relation to the purposes for which the data are collected or otherwise
processed, where data subjects have withdrawn their consent for processing or
where they object to the processing of personal data concerning them or where
the processing of their personal data otherwise does not comply with this
Regulation. This right is particularly relevant, when the data subject has
given their consent as a child, when not being fully aware of the risks
involved by the processing, and later wants to remove such personal data especially
on the Internet. However, the further retention of the data should be allowed
where it is necessary for historical, statistical and scientific research purposes,
for reasons of public interest in the area of public health, for exercising the
right of freedom of expression, when required by law or where there is a reason
to restrict the processing of the data instead of erasing them.
|
|
(54)
Afin de renforcer le «droit à l'oubli numérique» dans l’environnement en
ligne, le droit à l'effacement des données devrait en outre être étendu de
façon à ce que le responsable du traitement qui a rendu les données à caractère
personnel publiques soit tenu d'informer les tiers qui traitent lesdites données
qu'une personne concernée leur demande d'effacer tous liens vers ces données,
ou toute copie ou reproduction de celles‑ci. Afin d'assurer cette information,
le responsable des données devrait prendre toutes les mesures raisonnables, y
compris les mesures techniques, à l'égard des données dont la publication lui
est imputable. En ce qui concerne la responsabilité de la publication de
données à caractère personnel par un tiers, elle devrait être imputée au
responsable du traitement lorsqu'il a lui-même autorisé le tiers à l'effectuer.
|
(54)
To strengthen the 'right to be forgotten' in the
online environment, the right to erasure should also be extended in such a way that
a controller who has made the personal data public should be obliged to inform
third parties which are processing such data that a data subject requests them
to erase any links to, or copies or replications of that personal data. To
ensure this information, the controller should take all reasonable steps,
including technical measures, in relation to data for the publication of which
the controller is responsible. In relation to a third party publication of
personal data, the controller should be considered responsible for the
publication, where the controller has authorised the publication by the third
party.
|
|
(55)
Pour leur permettre de mieux maîtriser encore l'utilisation qui est
faite des données les concernant et renforcer leur droit d’accès, les personnes
devraient avoir le droit, lorsque des données à caractère personnel font l'objet
d'un traitement automatisé dans un format structuré et couramment utilisé,
d'obtenir une copie des données les concernant, également dans un format
électronique structuré et couramment utilisé. La personne concernée devrait en
outre être autorisée à transférer ces données, qu'elle a fournies, d'une
application automatisée, telle qu'un réseau social, à une autre. Ce droit
devrait s'appliquer lorsque la personne concernée a fourni les données au
système de traitement automatisé, en donnant son consentement ou dans le cadre
de l’exécution d’un contrat.
|
(55)
To further strengthen the control over their own
data and their right of access, data subjects should have the right, where
personal data are processed by electronic means and in a structured and
commonly used format, to obtain a copy of the data concerning them also in
commonly used electronic format. The data subject should also be allowed to
transmit those data, which they have provided, from one automated application,
such as a social network, into another one. This should apply where the data
subject provided the data to the automated processing system, based on their consent
or in the performance of a contract.
|
|
(56)
Dans les cas où des données à caractère personnel pourraient faire
l'objet d'un traitement licite afin de protéger les intérêts vitaux de la
personne concernée, ou pour un motif d'intérêt général, à l'exercice de
l'autorité publique ou à la poursuite des intérêts légitimes du responsable du
traitement, toute personne concernée devrait néanmoins avoir le droit de
s’opposer au traitement de toute donnée la concernant. Il devrait incomber au
responsable du traitement de prouver que ses intérêts légitimes prévalent sur
les intérêts ou les libertés et droits fondamentaux de la personne concernée.
|
(56)
In cases where personal data might lawfully be
processed to protect the vital interests of the data subject, or on grounds of
public interest, official authority or the legitimate interests of a
controller, any data subject should nevertheless be entitled to object to the
processing of any data relating to them. The burden of proof should be on the
controller to demonstrate that their legitimate interests may override the
interests or the fundamental rights and freedoms of the data subject.
|
|
(57)
Lorsque des données à caractère personnel sont traitées à des fins de
marketing direct, la personne concernée devrait avoir le droit de s’opposer à
ce traitement, sans frais et d’une manière simple et effective.
|
(57)
Where personal data are processed for the
purposes of direct marketing, the data subject should have the right to object to
such processing free of charge and in a manner that can be easily and
effectively invoked..
|
|
(58)
Toute personne physique devrait avoir le droit de ne pas être soumise à
une mesure fondée sur le profilage par traitement automatisé. Toutefois, de
telles mesures devraient être permises lorsqu'elles sont expressément
autorisées par la loi, appliquées dans le cadre de la conclusion ou de
l'exécution d'un contrat, ou si la personne concernée y a donné son
consentement. En tout état de cause, un traitement de ce type devrait être
assorti de garanties appropriées, y compris une information spécifique de la
personne concernée et le droit d'obtenir une intervention humaine, et cette
mesure ne devrait pas concerner les enfants.
|
(58)
Every natural person should have the right not
to be subject to a measure which is based on profiling by means of automated
processing. However, such measure should be allowed when expressly authorised
by law, carried out in the course of entering or performance of a contract, or
when the data subject has given his consent. In any case, such processing should
be subject to suitable safeguards, including specific information of the data
subject and the right to obtain human intervention and that such measure should
not concern a child.
|
|
(59)
Des limitations des principes spécifiques et du droit à l'information,
du droit d'accès, de rectification et d'effacement, ou du droit à la
portabilité des données, du droit d'opposition, des mesures fondées sur le
profilage, ainsi que de la communication d'une violation des données à
caractère personnel à une personne concernée, et des limitations de certaines
obligations connexes des responsables du traitement des données peuvent être
imposées par le droit de l'Union ou d'un État membre, dans la mesure nécessaire
et proportionnée dans une société démocratique, pour garantir la sécurité
publique, notamment aux fins de la protection de la vie humaine en cas, plus
particulièrement, de catastrophe d'origine naturelle ou humaine, aux fins de la
prévention, de l'investigation et de la poursuite d'infractions pénales ou de
manquements à la déontologie des professions réglementées, aux fins d'autres
intérêts publics, y compris d'un intérêt économique ou financier important de
l'Union ou d'un État membre, ou aux fins de la protection de la personne
concernée ou des droits ou libertés de tiers. Ces limitations doivent être
conformes aux exigences énoncées par la charte des droits fondamentaux de
l'Union européenne et par la convention européenne de sauvegarde des droits de
l'homme et des libertés fondamentales.
|
(59)
Restrictions on specific principles and on the
rights of information, access, rectification and erasure or on the right to
data portability, the right to object, measures based on profiling, as well as
on the communication of a personal data breach to a data subject and on certain
related obligations of the controllers may be imposed by Union or Member State
law, as far as necessary and proportionate in a democratic society to safeguard
public security, including the protection of human life especially in response to
natural or man made disasters, the prevention, investigation and prosecution of
criminal offences or of breaches of ethics for regulated professions, other
public interests of the Union or of a Member State, in particular an important
economic or financial interest of the Union or of a Member State, or the
protection of the data subject or the rights and freedoms of others. Those
restrictions should be in compliance with requirements set out by the Charter
of Fundamental Rights of the European Union and by the European Convention for
the Protection of Human Rights and Fundamental Freedoms.
|
|
(60)
Il y a lieu d'instaurer une responsabilité globale du responsable du
traitement pour tout traitement de données à caractère personnel qu'il effectue
lui‑même ou qui est réalisé pour son compte. Il importe en particulier que le
responsable du traitement veille à la conformité de chaque traitement au
présent règlement et soit tenu d'en apporter la preuve.
|
(60)
Comprehensive responsibility and liability of
the controller for any processing of personal data carried out by the
controller or on the controller's behalf should be established. In particular,
the controller should ensure and be obliged to demonstrate the compliance of
each processing operation with this Regulation.
|
|
(61)
La protection des droits et libertés des personnes concernées à l'égard
du traitement des données à caractère personnel nécessite de prendre les
mesures techniques et organisationnelles appropriées, tant au moment de la
conception que de l'exécution du traitement, de sorte que les exigences du
présent règlement soient respectées. Afin d'assurer et de démontrer la
conformité de ses activités au présent règlement, le responsable du traitement
devrait adopter des règles internes et appliquer des mesures adaptées, qui
répondent en particulier aux principes de la protection des données dès la
conception et de la protection des données par défaut.
|
(61)
The protection of the rights and freedoms of
data subjects with regard to the processing of personal data require that
appropriate technical and organisational measures are taken, both at the time
of the design of the processing and at the time of the processing itself, to
ensure that the requirements of this Regulation are met. In order to ensure and
demonstrate compliance with this Regulation, the controller should adopt
internal policies and implement appropriate measures, which meet in particular
the principles of data protection by design and data protection by default.
|
|
(62)
La protection des droits et libertés des personnes concernées, de même
que la responsabilité des responsables du traitement et de leurs
sous-traitants, y compris dans le cadre de la surveillance exercée par les
autorités de contrôle et des mesures prises par elles, exige une répartition
claire des responsabilités au titre du présent règlement, notamment dans le cas
où le responsable du traitement détermine les finalités, les conditions et les
moyens du traitement conjointement avec d'autres responsables, ou lorsqu'un traitement
est effectué pour le compte d'un responsable du traitement.
|
(62)
The protection of the rights and freedoms of
data subjects as well as the responsibility and liability of controllers and
processor, also in relation to the monitoring by and measures of supervisory
authorities, requires a clear attribution of the responsibilities under this
Regulation, including where a controller determines the purposes, conditions
and means of the processing jointly with other controllers or where a
processing operation is carried out on behalf of a controller.
|
|
(63)
Lorsqu'un responsable du traitement qui n'est pas établi dans l'Union
traite des données à caractère personnel concernant des personnes résidant dans
l'Union, et que les activités de traitement sont liées à l'offre de biens ou de
services à ces personnes, ou à l'observation de leur comportement, il
conviendrait que le responsable du traitement désigne un représentant, à moins
que ledit responsable ne soit établi dans un pays tiers qui assure un niveau de
protection adéquat, ou que le responsable ne soit une petite ou moyenne
entreprise ou une autorité ou un organisme public, ou qu'il ne propose
qu'occasionnellement des biens ou des services à ces personnes concernées. Le
représentant devrait agir pour le compte du responsable du traitement et
devrait pouvoir être contacté par toute autorité de contrôle.
|
(63)
Where a controller not established in the Union is
processing personal data of data subjects residing in the Union whose
processing activities are related to the offering of goods or services to such
data subjects, or to the monitoring their behaviour, the controller should
designate a representative, unless the controller is established in a third
country ensuring an adequate level of protection, or the controller is a small
or medium sized enterprise or a public authority or body or where the
controller is only occasionally offering goods or services to such data
subjects. The representative should act on behalf of the controller and may be
addressed by any supervisory authority.
|
|
(64)
Afin de déterminer si un responsable des données n'offre
qu'occasionnellement des biens et des services à des personnes concernées
résidant dans l'Union, il y aurait lieu de vérifier s'il ressort de l'ensemble
de ses activités que l'offre de biens et de services à ces personnes concernées
est accessoire à ses activités principales.
|
(64)
In order to determine whether a controller is
only occasionally offering goods and services to data subjects residing in the
Union, it should be ascertained whether it is apparent from the controller's
overall activities that the offering of goods and services to such data
subjects is ancillary to those main activities.
|
|
(65)
Afin d’apporter la preuve qu'il se conforme au présent règlement, le
responsable du traitement ou le sous‑traitant devrait consigner chaque
opération de traitement. Chaque responsable du traitement et sous‑traitant
devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces
informations à sa disposition sur demande pour qu'elles servent au contrôle des
opérations en question.
|
(65)
In order to demonstrate compliance with this
Regulation, the controller or processor should document each processing
operation. Each controller and processor should be obliged to co-operate with
the supervisory authority and make this documentation, on request, available to
it, so that it might serve for monitoring those processing operations.
|
|
(66)
Afin de préserver la sécurité et de prévenir tout traitement contraire
au présent règlement, il importe que le responsable du traitement ou le
sous-traitant évalue les risques inhérents au traitement et prenne des mesures
pour les atténuer. Ces mesures devraient assurer un niveau de sécurité
approprié compte tenu, d'une part, de l'état de la technique et de leur coût de
mise en œuvre, et, d'autre part, des risques présentés par les traitements et
de la nature des données à protéger. Lors de l’adoption de normes techniques et
de mesures organisationnelles destinées à garantir la sécurité du traitement,
la Commission devrait promouvoir la neutralité technologique,
l’interopérabilité et l’innovation, et au besoin, coopérer avec les pays tiers.
|
(66)
In order to maintain security and to prevent
processing in breach of this Regulation, the controller or processor should evaluate
the risks inherent to the processing and implement measures to mitigate those
risks. These measures should ensure an appropriate level of security, taking
into account the state of the art and the costs of their implementation in
relation to the risks and the nature of the personal data to be protected. When
establishing technical standards and organisational measures to ensure security
of processing, the Commission should promote technological neutrality,
interoperability and innovation, and, where appropriate, cooperate with third
countries.
|
|
(67)
Une violation de données à caractère personnel risque, si l'on
n'intervient pas à temps et de manière appropriée, de causer une grave perte
économique et des dommages sociaux importants, y compris une usurpation
d’identité, à la personne physique concernée. En conséquence, dès que le
responsable du traitement apprend qu’une telle violation s’est produite, il
conviendrait qu'il en informe l’autorité de contrôle sans retard injustifié et,
lorsque c'est possible, dans les 24 heures. Si ce délai ne peut être
respecté, la notification devrait être assortie d'une explication concernant ce
retard. Les personnes physiques dont les données à caractère personnel
pourraient être affectées par la violation devraient en être averties sans
retard injustifié afin de pouvoir prendre les précautions qui s’imposent. Il y
a lieu de considérer qu'une violation affecte les données à caractère personnel
ou la vie privée d'une personne concernée lorsqu'il peut en résulter, par
exemple, un vol ou une usurpation d'identité, un dommage physique, une
humiliation grave ou une atteinte à la réputation. La notification devra
décrire la nature de la violation des données à caractère personnel et formuler
des recommandations à la personne concernée afin d'atténuer les éventuels
effets négatifs. Il convient que les notifications aux personnes concernées
soient effectuées aussi rapidement que possible, en coopération étroite avec
l'autorité de contrôle, et dans le respect des directives fournies par celle-ci
ou par d'autres autorités compétentes (telles que les autorités répressives).
Par exemple, pour que les personnes concernées puissent atténuer un risque
immédiat de préjudice, il faudrait leur adresser une notification le plus rapidement
possible, mais la nécessité de mettre en œuvre des mesures appropriées
empêchant la poursuite de la violation des données ou la survenance de
violations similaires pourrait justifier un délai plus long.
|
(67)
A personal data breach may, if not addressed in
an adequate and timely manner, result in substantial economic loss and social
harm, including identity fraud, to the individual concerned. Therefore, as soon
as the controller becomes aware that such a breach has occurred, the controller
should notify the breach to the supervisory authority without undue delay and,
where feasible, within 24 hours. Where this cannot achieved within 24 hours, an
explanation of the reasons for the delay should accompany the notification. The
individuals whose personal data could be adversely affected by the breach
should be notified without undue delay in order to allow them to take the
necessary precautions. A breach should be considered as adversely affecting the
personal data or privacy of a data subject where it could result in, for example,
identity theft or fraud, physical harm, significant humiliation or damage to
reputation. The notification should describe the nature of the personal data
breach as well as recommendations as well as recommendations for the individual
concerned to mitigate potential adverse effects. Notifications to data subjects
should be made as soon as reasonably feasible, and in close cooperation with
the supervisory authority and respecting guidance provided by it or other
relevant authorities (e.g. law enforcement authorities). For example, the
chance for data subjects to mitigate an immediate risk of harm would call for a
prompt notification of data subjects whereas the need to implement appropriate
measures against continuing or similar data breaches may justify a longer
delay.
|
|
(68)
Afin de déterminer si une violation des données à caractère personnel
est notifiée sans retard injustifié à l'autorité de contrôle et à la personne
concernée, il y a lieu de vérifier si le responsable du traitement a mis en
place et appliqué une protection technologique et des mesures d'organisation appropriées
pour établir immédiatement si une violation des données est intervenue et pour
informer dans les meilleurs délais l'autorité de contrôle et la personne
concernée, avant qu'une atteinte ne soit portée aux intérêts personnels ou
économiques de la personne, compte tenu notamment de la nature et de la gravité
de la violation des données et de ses conséquences et effets néfastes pour la
personne concernée.
|
(68)
In order to determine whether a personal data
breach is notified to the supervisory authority and to the data subject without
undue delay, it should be ascertained whether the controller has implemented and
applied appropriate technological protection and organisational measures to establish
immediately whether a personal data breach has taken place and to inform
promptly the supervisory authority and the data subject, before a damage to
personal and economic interests occurs, taking into account in particular the
nature and gravity of the personal data breach and its consequences and adverse
effects for the data subject.
|
|
(69)
Lors de la fixation des règles détaillées concernant la forme et les
procédures applicables à la notification des violations de données à caractère
personnel, il convient de tenir dûment compte des circonstances de la
violation, notamment du fait que les données à caractère personnel étaient ou
non protégées par des mesures de protection techniques appropriées limitant
efficacement le risque d’usurpation d’identité ou d’autres formes d’abus. Par
ailleurs, ces règles et procédures devraient tenir compte des intérêts
légitimes des autorités répressives dans les cas où une divulgation prématurée
risquerait d’entraver inutilement l’enquête sur les circonstances de la
violation.
|
(69)
In setting detailed rules concerning the format
and procedures applicable to the notification of personal data breaches, due
consideration should be given to the circumstances of the breach, including
whether or not personal data had been protected by appropriate technical
protection measures, effectively limiting the likelihood of identity fraud or
other forms of misuse. Moreover, such rules and procedures should take into
account the legitimate interests of law enforcement authorities in cases where
early disclosure could unnecessarily hamper the investigation of the
circumstances of a breach.
|
|
(70)
La directive 95/46/CE prévoyait une obligation générale de notifier les
traitements de données à caractère personnel aux autorités de contrôle. Or
cette obligation génère une charge administrative et financière, sans pour
autant avoir véritablement amélioré la protection des données. En conséquence,
l'obligation générale de notification devrait être supprimée et remplacée par
des procédures et des mécanismes efficaces ciblant plutôt les traitements
susceptibles de présenter des risques particuliers pour les droits et libertés
des personnes concernées, du fait de leur nature, de leur portée ou de leur
finalité. Dans de tels cas, une analyse d'impact relative à la protection des
données devrait être réalisée par le responsable du traitement ou le sous‑traitant,
préalablement au traitement, et devrait examiner notamment les dispositions,
garanties et mécanismes envisagés pour assurer la protection des données à
caractère personnel et pour démontrer que le présent règlement est respecté.
|
(70)
Directive 95/46/EC provided for a general
obligation to notify processing of personal data to the supervisory
authorities. While this obligation produces administrative and financial burdens,
it did not in all cases contribute to improving the protection of personal data.
Therefore such indiscriminate general notification obligation should be
abolished, and replaced by effective procedures and mechanism which focus instead
on those processing operations which are likely to present specific risks to
the rights and freedoms of data subjects by virtue of their nature, their scope
or their purposes. In such cases, a data protection impact assessment should be
carried out by the controller or processor prior to the processing, which
should include in particular the envisaged measures, safeguards and mechanisms for
ensuring the protection of personal data and for demonstrating the compliance
with this Regulation.
|
|
(71)
Ceci devrait s'appliquer en particulier aux systèmes d'archivage à
grande échelle récemment créés, qui servent à traiter un volume considérable de
données à caractère personnel au niveau régional, national ou supranational et
pourraient affecter un nombre important de personnes concernées.
|
(71)
This should in particular apply to newly
established large scale filing systems, which aim at processing a considerable
amount of personal data at regional, national or supranational level and which
could affect a large number of data subjects.
|
|
(72)
Il existe des cas dans lesquels il pourrait être judicieux et économique
d'élargir l'analyse d'impact relative à la protection des données au-delà d'un
projet unique, par exemple lorsque des autorités ou organismes publics
entendent mettre en place une application ou une plateforme de traitement
commune, ou lorsque plusieurs responsables du traitement envisagent de créer
une application ou un environnement de traitement communs à tout un secteur ou
segment professionnel, ou pour une activité transversale largement utilisée.
|
(72)
There are circumstances under which it may be
sensible and economic that the subject of a data protection impact assessment should
be broader than a single project, for example where public authorities or
bodies intend to establish a common application or processing platform or where
several controllers plan to introduce a common application or processing
environment across an industry sector or segment or for a widely used
horizontal activity.
|
|
(73)
Une autorité ou un organisme publics ne devraient réaliser une analyse
d'impact relative à la protection des données que si celle-ci n'a pas été faite
au moment de l'adoption de la loi nationale régissant la mission de l'autorité
ou de l'organisme publics concernés ainsi que l'opération ou l'ensemble
d'opérations de traitement en question.
|
(73)
Data protection impact assessments should be
carried out by a public authority or public body if such an assessment has not
already been made in the context of the adoption of the national law on which
the performance of the tasks of the public authority or public body is based
and which regulates the specific processing operation or set of operations in
question.
|
|
(74)
Lorsqu'une analyse d’impact relative à la protection des données indique
que des opérations de traitement exposent les droits et libertés des personnes
concernées à un degré élevé de risques particuliers, comme priver ces personnes
d'un droit, ou de par l'utilisation de certaines technologies nouvelles,
l'autorité de contrôle devrait pouvoir être consultée, avant le début de
l'opération, sur un traitement risqué susceptible de ne pas être conforme au
présent règlement, et formuler des propositions visant à y remédier. Cette
consultation devrait également avoir lieu pendant l'élaboration d'une mesure
législative du parlement national, ou d'une mesure fondée sur cette dernière
définissant la nature du traitement et instaurant les garanties appropriées.
|
(74)
Where a data protection impact assessment
indicates that processing operations involve a high degree of specific risks to
the rights and freedoms of data subjects, such as excluding individuals from
their right, or by the use of specific new technologies, the supervisory
authority should be consulted, prior to the start of operations, on a risky
processing which might not be in compliance with this Regulation, and to make
proposals to remedy such situation. Such consultation should equally take place
in the course of the preparation either of a measure by the national parliament
or of a measure based on such legislative measure which defines the nature of
the processing and lays down appropriate safeguards.
|
|
(75)
Lorsque le traitement est réalisé dans le secteur public ou lorsque,
dans le secteur privé, il est effectué par une grande entreprise ou par une
entreprise, quelle que soit sa taille, dont les activités de base impliquent
des opérations de traitement exigeant un suivi régulier et systématique, une
personne devrait aider le responsable du traitement ou le sous‑traitant à
vérifier le respect, au niveau interne, du présent règlement. Ces délégués à la
protection des données, qu'ils soient ou non des employés du responsable du
traitement, devraient être en mesure d'exercer leurs fonctions et leurs tâches
en toute indépendance.
|
(75)
Where the processing is carried out in the
public sector or where, in the private sector, processing is carried out by a
large enterprise, or where its core activities, regardless of the size of the
enterprise, involve processing operations which require regular and systematic
monitoring, a person should assist the controller or processor to monitor
internal compliance with this Regulation. Such data protection officers, whether
or not an employee of the controller, should be in a position to perform their
duties and tasks independently.
|
|
(76)
Il y a lieu d'encourager les associations et autres instances
représentatives des responsables de traitement de données à élaborer des codes
de conduite, dans le respect du présent règlement, de manière à faciliter sa
bonne application, en tenant compte des spécificités des traitements effectués
dans certains secteurs.
|
(76)
Associations or other bodies representing
categories of controllers should be encouraged to draw up codes of conduct,
within the limits of this Regulation, so as to facilitate the effective
application of this Regulation, taking account of the specific characteristics
of the processing carried out in certain sectors.
|
|
(77)
Afin de favoriser la transparence et le respect du présent règlement, la
création de mécanismes de certification, ainsi que de marques et de labels en
matière de protection des données, devrait être encouragée pour permettre aux
personnes concernées d'évaluer rapidement le niveau de protection des données
offert par les produits et services en question.
|
(77)
In order to enhance transparency and compliance
with this Regulation, the establishment of certification mechanisms, data
protection seals and marks should be encouraged, allowing data subjects to
quickly assess the level of data protection of relevant products and services.
|
|
(78)
La circulation transfrontière des données à caractère personnel est
nécessaire au développement de la coopération internationale et du commerce
mondial. L’augmentation de ces flux a cependant créé de nouveaux enjeux et de
nouvelles préoccupations en ce qui concerne la protection des données à caractère
personnel. Or il importe que, lorsque ces données sont transférées de l’Union
vers des pays tiers ou à des organisations internationales, le niveau de
protection des personnes physiques garanti dans l’Union par le présent
règlement ne soit pas amoindri. En tout état de cause, les transferts vers des
pays tiers ne peuvent avoir lieu que dans le plein respect du présent
règlement.
|
(78)
Cross-border flows of personal data are
necessary for the expansion of international trade and international co-operation.
The increase in these flows has raised new challenges and concerns with respect
to the protection of personal data. However, when personal data are transferred
from the Union to third countries or to international organisations, the level
of protection of individuals guaranteed in the Union by this Regulation should not
be undermined. In any event, transfers to third countries may only be carried
out in full compliance with this Regulation.
|
|
(79)
Le présent règlement ne remet pas en cause les accords internationaux
conclus entre l'Union et les pays tiers en vue de réglementer le transfert des
données à caractère personnel, y compris les garanties appropriées au bénéfice
des personnes concernées.
|
(79)
This Regulation is without prejudice to international
agreements concluded between the Union and third countries regulating the
transfer of personal data including appropriate safeguards for the data
subjects.
|
|
(80)
La Commission peut décider, avec effet dans l'ensemble de l'Union, que
certains pays tiers, un territoire ou un secteur de traitement de données dans
un pays tiers, ou une organisation internationale offrent un niveau de
protection adéquat, ce qui assurera une sécurité juridique et une uniformité
dans toute l'Union au sujet des pays tiers ou des organisations internationales
qui sont réputés assurer un tel niveau de protection. Dans ce cas, les
transferts de données à caractère personnel vers ces pays peuvent avoir lieu
sans qu'il soit nécessaire d'obtenir une autre autorisation.
|
(80)
The Commission may decide with effect for the
entire Union that certain third countries, or a territory or a processing
sector within a third country, or an international organisation, offer an
adequate level of data protection, thus providing legal certainty and
uniformity throughout the Union as regards the third countries or international
organisations which are considered to provide such level of protection. In
these cases, transfers of personal data to these countries may take place without
needing to obtain any further authorisation.
|
|
(81)
Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en
particulier la protection des droits de l'homme, la Commission devrait, dans
son évaluation du pays tiers, prendre en considération la manière dont ce pays
respecte l'État de droit, garantit l’accès à la justice et observe les règles et
normes internationales dans le domaine des droits de l'homme.
|
(81)
In line with the fundamental values on which the
Union is founded, in particular the protection of human rights, the Commission
should, in its assessment of the third country, take into account how a given third
country respects the rule of law, access to justice as well as international
human rights norms and standards.
|
|
(82)
La Commission peut également constater qu’un pays tiers, un territoire
ou un secteur de traitement de données dans un pays tiers, ou une organisation
internationale n'offre pas un niveau adéquat de protection des données. Si tel
est le cas, le transfert de données à caractère personnel vers ce pays tiers
devrait être interdit. Il y aurait alors lieu de prendre des dispositions en
vue d'une consultation entre la Commission et le pays tiers ou l'organisation
internationale.
|
(82)
The Commission may equally recognise that a
third country, or a territory or a processing sector within a third country, or
an international organisation offers no adequate level of data protection.
Consequently the transfer of personal data to that third country should be
prohibited. In that case, provision should be made for consultations between
the Commission and such third countries or international organisations.
|
|
(83)
En l’absence de décision constatant le caractère adéquat du niveau de
protection, le responsable du traitement ou le sous‑traitant devrait prendre
des mesures pour compenser l'insuffisance de la protection des données dans le pays
tiers par des garanties appropriées en faveur de la personne concernée. Ces
garanties peuvent consister à recourir à des règles d'entreprise
contraignantes, des clauses types de protection des données adoptées par la
Commission, des clauses types de protection des données adoptées par une
autorité de contrôle ou des clauses contractuelles autorisées par celle-ci, ou
d'autres mesures adaptées et proportionnées qui se justifient au regard des
circonstances qui entourent une opération ou une série d'opérations de
transfert de données, et dans les cas autorisés par une autorité de contrôle.
|
(83)
In the absence of an adequacy decision, the
controller or processor should take measures to compensate for the lack of data
protection in a third country by way of appropriate safeguards for the data
subject. Such appropriate safeguards may consist of making use of binding
corporate rules, standard data protection clauses adopted by the Commission,
standard data protection clauses adopted by a supervisory authority or
contractual clauses authorised by a supervisory authority, or other suitable
and proportionate measures justified in the light of all the circumstances
surrounding a data transfer operation or set of data transfer operations and
where authorised by a supervisory authority.
|
|
(84)
La possibilité qu'ont les responsables du traitement et les sous‑traitants
de recourir aux clauses types de protection des données adoptées par la
Commission ou par une autorité de contrôle ne devrait pas les empêcher
d'inclure ces clauses dans un contrat plus large, ni d'y ajouter d’autres
clauses, à condition que celles‑ci ne contredisent pas, directement ou
indirectement, les clauses contractuelles types adoptées par la Commission ou
par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés
et droits fondamentaux des personnes concernées.
|
(84)
The possibility for the controller or processor to
use standard data protection clauses adopted by the Commission or by a
supervisory authority should neither prevent the possibility for controllers or
processors to include the standard data protection clauses in a wider contract
nor to add other clauses as long as they do not contradict, directly or
indirectly, the standard contractual clauses adopted by the Commission or by a supervisory
authority or prejudice the fundamental rights or freedoms of the data subjects.
|
|
(85)
Un groupe d’entreprises devrait être autorisé à recourir à des règles
d'entreprise contraignantes pour ses transferts internationaux de l’Union vers
des entités du même groupe, à condition que ces règles d'entreprise incluent
des principes essentiels et des droits opposables fournissant des garanties
appropriées pour les transferts ou catégories de transferts de données à
caractère personnel.
|
(85)
A corporate group should be able to make use of approved
binding corporate rules for its international transfers from the Union to
organisations within the same corporate group of undertakings, as long as such corporate rules include essential principles and
enforceable rights to ensure appropriate safeguards for
transfers or categories of transfers of personal data.
|
|
(86)
Le présent règlement devrait autoriser les transferts dans certains cas
où la personne concernée a donné son consentement, lorsque le transfert est
nécessaire dans le cadre d'un contrat ou d'une action en justice, lorsque des
motifs importants d'intérêt général établis par le droit de l'Union ou d'un
État membre l'exigent, ou lorsque le transfert est effectué à partir d'un
registre établi par la loi et destiné à être consulté par le public ou par des
personnes y ayant un intérêt légitime. Dans ce dernier cas de figure, le
transfert ne devrait toutefois pas porter sur la totalité des données ni sur
des catégories entières de données contenues dans le registre et, lorsque ce
dernier est destiné à être consulté par des personnes qui y ont un intérêt
légitime, le transfert ne devrait avoir lieu que si ces personnes le demandent
ou si elles en sont les destinataires.
|
(86)
Provisions should be made for the possibility
for transfers in certain circumstances where the data subject has given his
consent, where the transfer is necessary in relation to a contract or a legal
claim, where important grounds of public interest laid down by Union or Member
State law so require or where the transfer is made from a register established
by law and intended for consultation by the public or persons having a
legitimate interest. In this latter case such a transfer should not involve the
entirety of the data or entire categories of the data contained in the register
and, when the register is intended for consultation by persons having a
legitimate interest, the transfer should be made only at the request of those
persons or if they are to be the recipients.
|
|
(87)
Ces dérogations devraient s'appliquer en particulier aux transferts de
données qui sont nécessaires à la protection pour des motifs importants
d'intérêt général, par exemple en cas de transfert international de données
entre autorités de la concurrence, administrations fiscales ou douanières,
entre autorités de surveillance financière, entre services chargés des
questions de sécurité sociale, ou en cas de transfert aux autorités compétentes
chargées de la prévention et de la détection des infractions pénales, des
enquêtes et des poursuites en la matière.
|
(87)
These derogations should in particular apply to
data transfers required and necessary for the protection of important grounds
of public interest, for example in cases of international data transfers
between competition authorities, tax or customs administrations, financial
supervisory authorities, between services competent for social security matters,
or to competent authorities for the prevention, investigation, detection and
prosecution of criminal offences.
|
|
(88)
Les transferts qui ne peuvent être qualifiés de fréquents ou massifs pourraient
également être autorisés aux fins de la poursuite des intérêts légitimes du
responsable du traitement ou du sous-traitant, après que ces derniers ont
évalué toutes les circonstances entourant le transfert. Pour les traitements à
des fins historiques, statistiques et de recherche scientifique, il y aurait
lieu de prendre en considération les attentes légitimes de la société en
matière de progrès des connaissances.
|
(88)
Transfers which cannot be qualified as frequent
or massive, could also be possible for the purposes of the legitimate interests
pursued by the controller or the processor, when they have assessed all the
circumstances surrounding the data transfer. For the purposes of processing for
historical, statistical and scientific research purposes, the legitimate
expectations of society for an increase of knowledge should be taken into
consideration.
|
|
(89)
En tout état de cause, lorsque la Commission ne s'est pas prononcée sur
le caractère adéquat de la protection des données dans un pays tiers, le
responsable du traitement ou le sous‑traitant devrait adopter des solutions qui
garantissent aux personnes concernées qu'elles continueront de bénéficier des
droits fondamentaux et des garanties qui leur sont accordés dans l'Union pour
le traitement des données les concernant, une fois que ces données auront été
transférées.
|
(89)
In any case, where the Commission has taken no
decision on the adequate level of data protection in a third country, the
controller or processor should make use of solutions that provide data subjects
with a guarantee that they will continue to benefit from the fundamental rights
and safeguards as regards processing of their data in the Union once this data
has been transferred.
|
|
(90)
Certains pays tiers édictent des lois, des règlements et d'autres
instruments législatifs qui visent à régir directement des activités de
traitement des données effectuées par des personnes physiques et morales qui
relèvent de la compétence des États membres de l'Union. L’application
extraterritoriale de ces lois, règlements et autres instruments législatifs
peut être contraire au droit international et faire obstacle à la protection
des personnes garantie dans l’Union par le présent règlement. . Les transferts
ne devraient donc être autorisés que lorsque les conditions fixées par le
présent règlement pour les transferts vers les pays tiers sont remplies. Ce
peut être le cas, notamment, lorsque la divulgation est nécessaire pour un
motif important d'intérêt général reconnu par le droit de l'Union ou par le
droit d'un État membre auquel le responsable des données est soumis. Les critères
d'existence d'un motif important d'intérêt général devraient être précisés par
la Commission dans un acte délégué.
|
(90)
Some third countries enact laws, regulations and
other legislative instruments which purport to directly regulate data
processing activities of natural and legal persons under the jurisdiction of
the Member States. The extraterritorial application of these laws, regulations
and other legislative instruments may be in breach of international law and may
impede the attainment of the protection of individuals guaranteed in the Union by
this Regulation. . Transfers should only be allowed where the conditions of
this Regulation for a transfer to third countries are met. This may inter alia
be the case where the disclosure is necessary for an important ground of public
interest recognised in Union law or in a Member State law to which the
controller is subject. The conditions under which an important ground of public
interest exists should be further specified by the Commission in a delegated
act.
|
|
(91)
Lorsque des données à caractère personnel franchissent les frontières,
elles accroissent le risque que les personnes physiques ne puissent exercer
leur droit à la protection des données, notamment pour se protéger de
l’utilisation ou la divulgation illicite de ces informations. De même, les
autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des
réclamations ou de mener des enquêtes sur les activités exercées en dehors de
leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontière
peuvent également être freinés par les pouvoirs insuffisants dont elles
disposent, par l'hétérogénéité des régimes juridiques et par des obstacles
pratiques tels que le manque de ressources. En conséquence, il est nécessaire
de favoriser une coopération plus étroite entre les autorités de contrôle de la
protection des données, afin qu'elles puissent échanger des informations et
mener des enquêtes avec leurs homologues internationaux.
|
(91)
When personal data moves across borders it may
put at increased risk the ability of individuals to exercise data protection
rights in particular to protect themselves from the unlawful use or disclosure
of that information. At the same time, supervisory authorities may find that
they are unable to pursue complaints or conduct investigations relating to the
activities outside their borders. Their efforts to work together in the
cross-border context may also be hampered by insufficient preventative or
remedial powers, inconsistent legal regimes, and practical obstacles like
resource constraints. Therefore, there is a need to promote closer co-operation
among data protection supervisory authorities to help them exchange information
and carry out investigations with their international counterparts.
|
|
(92)
L'institution d'autorités de contrôle dans les États membres, exerçant
leurs fonctions en toute indépendance, est un élément essentiel de la
protection des personnes physiques à l'égard du traitement des données à
caractère personnel. Les États membres ont la possibilité d'instituer plusieurs
autorités de contrôle, pour s'aligner sur leur structure constitutionnelle,
organisationnelle et administrative.
|
(92)
The establishment of supervisory authorities in
Member States, exercising their functions with complete independence, is an
essential component of the protection of individuals with regard to the
processing of their personal data. Member States may establish more than one
supervisory authority, to reflect their constitutional, organisational and
administrative structure.
|
|
(93)
Lorsqu'un État membre crée plusieurs autorités de contrôle, il devrait
prévoir, dans sa législation, des dispositifs garantissant la participation
effective de ces autorités au mécanisme de contrôle de la cohérence. Il devrait
en particulier désigner l'autorité de contrôle qui servira de point de contact
unique, permettant une participation efficace de ces autorités au mécanisme,
afin d'assurer une coopération rapide et facile avec les autres autorités de
contrôle, le comité européen de la protection des données et la Commission.
|
(93)
Where a Member State establishes several
supervisory authorities, it should establish by law mechanisms for ensuring the
effective participation of those supervisory authorities in the consistency
mechanism. That Member State should in particular designate the supervisory
authority which functions as a single contact point for the effective
participation of those authorities in the mechanism, to ensure swift and smooth
co-operation with other supervisory authorities, the European Data Protection
Board and the Commission.
|
|
(94)
Il conviendrait que chaque autorité de contrôle soit dotée de tous les
moyens financiers et humains, les locaux et les infrastructures nécessaires à
la bonne exécution de ses tâches, y compris celles qui sont liées à
l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle
dans l'ensemble de l'Union.
|
(94)
Each supervisory authority should be provided
with the adequate financial and human resources, premises and infrastructure, which
is necessary for the effective performance of their tasks, including for the
tasks related to mutual assistance and co-operation with other supervisory
authorities throughout the Union.
|
|
(95)
Les conditions générales applicables aux membres de l’autorité de
contrôle devraient être fixées par la loi dans chaque État membre, prévoir
notamment que ces membres sont nommés par le parlement ou par le gouvernement
national, et comprendre des dispositions régissant la qualification et la
fonction de ces membres.
|
(95)
The general conditions for the members of the
supervisory authority should be laid down by law in each Member State and should
in particular provide that those members should be either appointed by the
parliament or the government of the Member State, and include rules on the
personal qualification of the members and the position of those members.
|
|
(96)
Il appartiendrait aux autorités de contrôle de surveiller l'application
des dispositions du présent règlement et de contribuer à ce que cette
application soit uniforme dans l'ensemble de l'Union, pour protéger les
personnes physiques à l'égard du traitement de leurs données à caractère
personnel et faciliter la libre circulation de ces données au sein du marché
intérieur. À cet effet, il conviendrait que les autorités de contrôle coopèrent
entre elles et avec la Commission.
|
(96)
The supervisory authorities should monitor the
application of the provisions pursuant to this Regulation and contribute to its
consistent application throughout the Union, in order to protect natural
persons in relation to the processing of their personal data and to facilitate
the free flow of personal data within the internal market. For that purpose,
the supervisory authorities should co-operate with each other and the
Commission.
|
|
(97)
Lorsque, dans l'Union, le traitement de données à caractère personnel
intervenant dans le cadre des activités d'un établissement d'un responsable du
traitement ou d'un sous‑traitant a lieu dans plusieurs États membres, il
conviendrait qu’une seule autorité de contrôle soit compétente pour surveiller
les activités du responsable du traitement ou du sous‑traitant dans toute
l'Union et pour prendre les décisions y afférentes, afin de favoriser une
application cohérente, de garantir la sécurité juridique et de réduire les
charges administratives pour le responsable du traitement et ses sous‑traitants.
|
(97)
Where the processing of personal data in the
context of the activities of an establishment of a controller or a processor in
the Union takes place in more than one Member State, one single supervisory
authority should be competent for monitoring the activities of the controller
or processor throughout the Union and taking the related decisions, in order to
increase the consistent application, provide legal certainty and reduce
administrative burden for such controllers and processors.
|
|
(98)
L'autorité compétente faisant ainsi office de guichet unique devrait
être l'autorité de contrôle de l'État membre dans lequel le responsable du
traitement ou le sous‑traitant a son principal établissement.
|
(98)
The competent authority, providing such one-stop
shop, should be the supervisory authority of the Member State in which the
controller or processor has its main establishment.
|
|
(99)
Bien que le présent règlement s'applique également aux activités des
juridictions nationales, la compétence des autorités de contrôle ne devrait pas
s'étendre aux traitements de données à caractère personnel effectués par les
juridictions lorsqu'elles agissent dans le cadre de leur fonction
juridictionnelle, afin de préserver l'indépendance des juges dans le cadre de
leur fonction juridictionnelle. Il conviendrait toutefois que cette exception
soit strictement limitée aux activités purement judiciaires intervenant dans le
cadre d'affaires portées devant les tribunaux et qu'elle ne s'applique pas aux
autres activités auxquelles les juges pourraient être associés en vertu du
droit national.
|
(99)
While this Regulation applies also to the
activities of national courts, the competence of the supervisory authorities
should not cover the processing of personal data when courts are acting in
their judicial capacity, in order to safeguard the independence of judges in
the performance of their judicial tasks. However, this exemption should be
strictly limited to genuine judicial activities in court cases and not apply to
other activities where judges might be involved in, in accordance with national
law.
|
|
(100)
Afin d'assurer la cohérence du contrôle et de l'application du présent
règlement dans l'ensemble de l'Union, les autorités de contrôle devraient
avoir, dans chaque État membre, les mêmes missions et pouvoirs effectifs, dont
des pouvoirs d'enquête, d'intervention juridiquement contraignante, de décision
et de sanction, en particulier en cas de réclamation introduite par des
personnes physiques, ainsi que le pouvoir d'ester en justice. Les pouvoirs d'investigation
des autorités de contrôle en matière d'accès aux locaux devraient être exercés
conformément au droit de l'Union et au droit national applicable. Cela concerne
en particulier de l'obligation d'obtenir préalablement une autorisation
judiciaire.
|
(100)
In order to ensure consistent monitoring and
enforcement of this Regulation throughout the Union, the supervisory
authorities should have in each Member State the same duties and effective
powers, including powers of investigation, legally binding intervention, decisions
and sanctions, particularly in cases of complaints from individuals, and to
engage in legal proceedings. Investigative powers of supervisory authorities as
regards access to premises should be exercised in conformity with Union law and
national law. This concerns in particular the requirement to obtain a prior
judicial authorisation.
|
|
(101)
Chaque autorité devrait recevoir les réclamations des personnes
concernées et examiner les affaires en question. L’enquête faisant suite à une
réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure
appropriée requise par l'affaire. L'autorité de contrôle devrait informer la
personne concernée de l'état d'avancement et du résultat de la réclamation dans
un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une
coordination avec une autre autorité de contrôle, des informations
intermédiaires devraient être fournies à la personne concernée.
|
(101)
Each supervisory authority should hear complaints
lodged by any data subject and should investigate the matter. The investigation
following a complaint should be carried out, subject to judicial review, to the
extent that is appropriate in the specific case. The supervisory authority
should inform the data subject of the progress and the outcome of the complaint
within a reasonable period. If the case requires further investigation or
coordination with another supervisory authority, intermediate information
should be given to the data subject.
|
|
(102)
Les activités de sensibilisation organisées par les autorités de
contrôle à l'intention du public devraient comprendre des mesures spécifiques
aux responsables du traitement et aux sous-traitants, y compris les micro,
petites et moyennes entreprises, et aux personnes concernées.
|
(102)
Awareness raising activities by supervisory
authorities addressed to the public should include specific measures directed
at controllers and processors, including micro, small
and medium-sized enterprises, as well as data subjects.
|
|
(103)
Les autorités de contrôle devraient se prêter mutuellement assistance
dans l’exercice de leurs fonctions afin d'assurer une application cohérente du
présent règlement dans le marché intérieur.
|
(103)
The supervisory authorities should assist each
other in performing their duties and provide mutual assistance, so as to ensure
the consistent application and enforcement of this Regulation in the internal
market.
|
|
(104)
Chaque autorité de contrôle devrait avoir le droit de participer à des
opérations conjointes entre autorités de contrôle. L'autorité de contrôle
requise devrait être tenue de répondre à la demande dans un délai déterminé.
|
(104)
Each supervisory authority should have the right
to participate in joint operations between supervisory authorities. The
requested supervisory authority should be obliged to respond to the request in
a defined time period.
|
|
(105)
Afin de garantir l’application cohérente du présent règlement dans toute
l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence
encadrant la coopération entre les autorités de contrôle elles-mêmes et avec la
Commission. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de
contrôle a l'intention de prendre une mesure à l'égard d'opérations de
traitement qui sont liées à l'offre de biens ou de services à des personnes
concernées se trouvant dans plusieurs États membres, ou à l'observation de ces
personnes, ou qui pourraient affecter considérablement la libre circulation des
données à caractère personnel. Il devrait également s'appliquer lorsqu'une
autorité de contrôle ou la Commission demande qu'une question soit traitée dans
ce cadre. Le mécanisme devrait s'appliquer sans préjudice des éventuelles
mesures que la Commission pourrait prendre dans l'exercice des pouvoirs que lui
confèrent les traités.
|
(105)
In order to ensure the consistent application of
this Regulation throughout the Union, a consistency mechanism for co-operation
between the supervisory authorities themselves and the Commission should be
established. This mechanism should in particular apply where a supervisory
authority intends to take a measure as regards processing operations that are related
to the offering of goods or services to data subjects in several Member States,
, or to the monitoring such data subjects, or that might substantially affect the
free flow of personal data. It should also apply where any supervisory
authority or the Commission requests that the matter should be dealt with in
the consistency mechanism. This mechanism should be without prejudice to any
measures that the Commission may take in the exercise of its powers under the
Treaties.
|
|
(106)
En application du mécanisme de contrôle de la cohérence, le comité
européen de la protection des données devrait émettre un avis, dans un délai
déterminé, si une majorité simple de ses membres le décide ou s'il est saisi
d'une demande en ce sens par une autorité de contrôle ou par la Commission.
|
(106)
In application of the consistency mechanism, the
European Data Protection Board should, within a determined period of time,
issue an opinion, if a simple majority of its members so decides or if so
requested by any supervisory authority or the Commission.
|
|
(107)
Afin de garantir le respect du présent règlement, la Commission peut
adopter un avis sur cette question, ou une décision ordonnant à l'autorité de
contrôle de suspendre son projet de mesure.
|
(107)
In order to ensure compliance with this
Regulation, the Commission may adopt an opinion on this matter, or a decision, requiring
the supervisory authority to suspend its draft measure.
|
|
(108)
Il peut être nécessaire d'agir de toute urgence pour protéger les
intérêts des personnes concernées, en particulier lorsque l'exercice du droit
d'une personne concernée risque d'être considérablement entravé. En
conséquence, lorsqu'elle applique le mécanisme de contrôle de la cohérence,
l'autorité de contrôle devrait pouvoir adopter des mesures provisoires d'une
durée déterminée.
|
(108)
There may be an urgent need to act in order to
protect the interests of data subjects, in particular when the danger exists
that the enforcement of a right of a data subject could be considerably
impeded. Therefore, a supervisory authority should be able to adopt provisional
measures with a specified period of validity when applying the consistency
mechanism.
|
|
(109)
L'application de ce mécanisme devrait conditionner la validité juridique
et l'exécution de la décision par une autorité de contrôle. Dans d'autres cas
présentant une dimension transfrontière, les autorités de contrôle concernées
pourraient se prêter mutuellement assistance et mener des enquêtes conjointes
sur une base bilatérale ou multilatérale, sans actionner le mécanisme de
contrôle de la cohérence.
|
(109)
The application of this mechanism should be a
condition for the legal validity and enforcement of the respective decision by
a supervisory authority. In other cases of cross-border relevance, mutual
assistance and joint investigations might be carried out between the concerned
supervisory authorities on a bilateral or multilateral basis without triggering
the consistency mechanism.
|
|
(110)
Un comité européen de la protection des données devrait être créé au
niveau de l'Union. Il devrait remplacer le groupe de protection des personnes à
l'égard du traitement des données à caractère personnel institué par
l'article 29 de la directive 95/46/CE. Il devrait se composer d'un
directeur d'une autorité de contrôle de chaque État membre et du contrôleur
européen de la protection des données. La Commission devrait participer à ses
activités. Le comité européen de la protection des données devrait contribuer à
l'application cohérente du présent règlement dans toute l'Union, notamment en
conseillant la Commission et en favorisant la coopération des autorités de
contrôle dans l'ensemble de l'Union. Il devrait exercer ses fonctions en toute
indépendance.
|
(110)
At Union level, a European Data Protection Board
should be set up. It should replace the Working Party on the Protection of Individuals
with Regard to the Processing of Personal Data established by Directive
95/46/EC. It should consist of a head of a supervisory authority of each Member
State and of the European Data Protection Supervisor. The Commission should
participate in its activities. The European Data Protection Board should
contribute to the consistent application of this Regulation throughout the
Union, including by advising the Commission and promoting co-operation of the
supervisory authorities throughout the Union. The European Data Protection
Board should act independently when exercising its tasks.
|
|
(111)
Toute personne concernée devrait avoir le droit d'introduire une
réclamation auprès d'une autorité de contrôle dans tout État membre et disposer
d'un droit de recours si elle estime que les droits que lui confère le présent
règlement ne sont pas respectés, si l’autorité de contrôle ne réagit pas à une
réclamation ou si elle n’agit pas alors qu'une action est nécessaire pour
protéger les droits de la personne concernée.
|
(111)
Every data subject should have the right to
lodge a complaint with a supervisory authority in any Member State and have the
right to a judicial remedy if they consider that their rights under this
Regulation are infringed or where the supervisory authority does not react on a
complaint or does not act where such action is necessary to protect the rights
of the data subject.
|
|
(112)
Tout organisme, organisation ou association qui œuvre à la protection
des droits et intérêts des personnes concernées dans le domaine de la
protection des données et qui est constitué(e) conformément au droit d’un État
membre devrait avoir le droit d'introduire une réclamation auprès d'une
autorité de contrôle ou d'exercer le droit de recours au nom de personnes
concernées, ou d'introduire une réclamation en son propre nom, indépendamment
de celle d'une personne concernée, dans les cas où l'organisme, l'organisation
ou l'association considère qu'une violation de données à caractère personnel a
été commise.
|
(112)
Any body, organisation or association which aims
to protects the rights and interests of data subjects in relation to the
protection of their data and is constituted according to the law of a Member
State should have the right to lodge a complaint with a supervisory authority or
exercise the right to a judicial remedy on behalf of data subjects, or to lodge,
independently of a data subject's complaint, an own complaint where it
considers that a personal data breach has occurred.
|
|
(113)
Toute personne physique ou morale devrait disposer d'un droit de recours
contre les décisions d'une autorité de contrôle qui la concernent. Les actions
contre une autorité de contrôle devraient être intentées devant les
juridictions de l’État membre sur le territoire duquel l'autorité de contrôle
est établie.
|
(113)
Each natural or legal person should have the
right to a judicial remedy against decisions of a supervisory authority
concerning them. Proceedings against a supervisory authority should be brought
before the courts of the Member State, where the supervisory authority is
established.
|
|
(114)
Afin de renforcer la protection judiciaire de la personne concernée dans
les cas où l'autorité de contrôle compétente est établie dans un autre État
membre que celui dans lequel la personne concernée réside, cette dernière peut
demander à tout organisme, organisation ou association œuvrant à la protection
des droits et intérêts des personnes concernées en vue de protéger leurs
données à caractère personnel, d'intenter, pour son compte, un recours contre
l'autorité de contrôle en question devant la juridiction compétente de l'autre
État membre.
|
(114)
In order to strengthen the judicial protection
of the data subject in situations where the competent supervisory authority is
established in another Member State than the one where the data subject is
residing, the data subject may request any body, organisation or association aiming
to protect the rights and interests of data subjects in relation to the
protection of their data to bring on the data subject's behalf proceedings
against that supervisory authority to the competent court in the other Member
State.
|
|
(115)
Dans le cas où l'autorité de contrôle compétente établie dans un autre
État membre n'agit pas ou a pris des mesures insuffisantes au sujet d'une
réclamation, la personne concernée peut demander à l'autorité de contrôle de
l'État membre dans lequel elle réside habituellement d'intenter une action
contre l'autorité de contrôle défaillante, devant la juridiction compétente de
l'autre État membre. L'autorité de contrôle requise peut décider, sous contrôle
juridictionnel, s'il y a lieu ou non de faire droit à la demande.
|
(115)
In situations where the competent supervisory
authority established in another Member State does not act or has taken insufficient
measures in relation to a complaint, the data subject may request the
supervisory authority in the Member State of his or her habitual residence to bring
proceedings against that supervisory authority to the competent court in the
other Member State. The requested supervisory authority may decide, subject to
judicial review, whether it is appropriate to follow the request or not.
|
|
(116)
En ce qui concerne les recours à l'encontre d'un responsable du
traitement ou d'un sous‑traitant, le demandeur devrait pouvoir choisir
d'intenter l'action devant les juridictions des États membres dans lesquels le
responsable du traitement ou le sous‑traitant a un établissement ou dans l'État
membre dans lequel la personne concernée réside, sauf si le responsable du
traitement est une autorité publique agissant dans l’exercice de la puissance
publique.
|
(116)
For proceedings against a controller or
processor, the plaintiff should have the choice to bring the action before the
courts of the Member States where the controller or processor has an
establishment or where the data subject resides, unless the controller is a
public authority acting in the exercise of its public powers.
|
|
(117)
S'il existe des raisons de penser que des procédures parallèles sont
pendantes devant les juridictions de différents États membres, ces juridictions
devraient être tenues de prendre contact les unes avec les autres. Les
juridictions devraient avoir la possibilité de surseoir à statuer lorsqu'une
affaire parallèle est pendante dans un autre État membre. Les États membres
devraient veiller à ce que les actions en justice, pour être efficaces,
permettent l'adoption rapide de mesures visant à réparer ou à prévenir une
violation du présent règlement.
|
(117)
Where there are indications that parallel
proceedings are pending before the courts in different Member States, the
courts should be obliged to contact each other. The courts should have the
possibility to suspend a case where a parallel case is pending in another
Member State. Member States should ensure that court actions, in order to be
effective, should allow the rapid adoption of measures to remedy or prevent an
infringement of this Regulation.
|
|
(118)
Tout dommage qu'une personne pourrait subir du fait d'un traitement
illicite devrait être réparé par le responsable du traitement ou le sous‑traitant,
qui peut cependant s'exonérer de sa responsabilité s'il prouve que le dommage
ne lui est pas imputable, notamment s'il établit l'existence d'une faute de la
personne concernée, ou en cas de force majeure.
|
(118)
Any damage which a person may suffer as a result
of unlawful processing should be compensated by the controller or processor,
who may be exempted from liability if they prove that they are not responsible
for the damage, in particular where he establishes fault on the part of the data
subject or in case of force majeure.
|
|
(119)
Toute personne de droit privé ou de droit public qui ne respecte pas le
présent règlement devrait faire l'objet de sanctions pénales. Les États membres
devraient veiller à ce que les sanctions soient effectives, proportionnées et
dissuasives, et prendre toutes mesures nécessaires à leur application.
|
(119)
Penalties should be imposed to any person,
whether governed by private or public law, who fails to comply with this
Regulation. Member States should ensure that the penalties should be effective,
proportionate and dissuasive and should take all measures to implement the
penalties.
|
|
(120)
Afin de renforcer et d'harmoniser les sanctions administratives
applicables en cas de violation du présent règlement, chaque autorité de
contrôle devrait avoir le pouvoir de sanctionner les infractions
administratives. Le présent règlement devrait définir ces infractions ainsi que
le montant maximal des amendes administratives dont elles sont passibles. Le
montant de l'amende devrait être fixé, dans chaque cas, en fonction de la
situation spécifique, compte dûment tenu, notamment, de la nature, de la
gravité et de la durée de l'infraction. Il pourrait en outre être recouru au
mécanisme de contrôle de la cohérence pour résoudre les divergences
d'application des sanctions administratives.
|
(120)
In order to strengthen and harmonise administrative
sanctions against infringements of this Regulation, each supervisory authority should
have the power to sanction administrative offences. This Regulation should
indicate these offences and the upper limit for the related administrative
fines, which should be fixed in each individual case proportionate to the
specific situation, with due regard in particular to the nature, gravity and
duration of the breach. The consistency mechanism may also be used to cover divergences
in the application of administrative sanctions.
|
|
(121)
Le traitement de données à caractère personnel à des fins uniquement
journalistiques ou aux fins d'expression artistique ou littéraire devrait
pouvoir bénéficier d'une dérogation à certaines dispositions du présent
règlement, pour concilier le droit à la protection de ces données avec le droit
à la liberté d'expression, et notamment le droit de recevoir et de communiquer
des informations, garanti en particulier par l’article 11 de la charte des
droits fondamentaux de l'Union européenne. Ceci devrait notamment s’appliquer
aux traitements de données à caractère personnel dans le domaine de
l’audiovisuel et dans les documents d'archives et bibliothèques de journaux. En
conséquence, les États membres devraient adopter des mesures législatives qui
prévoient les exemptions et dérogations nécessaires pour assurer l'équilibre
avec ces droits fondamentaux. Les États membres devraient adopter de telles
exemptions et dérogations en ce qui concerne les principes généraux, les droits
de la personne concernée, le responsable des données et le sous-traitant, le
transfert des donnés vers des pays tiers ou à des organisations
internationales, les autorités de contrôle indépendantes, et la coopération et
la cohérence. Néanmoins, ceci ne devrait pas conduire les États membres à
prévoir des dérogations aux autres dispositions du présent règlement. Pour
tenir compte de l'importance du droit à la liberté d'expression dans toute
société démocratique, il y a lieu de retenir une interprétation large des
notions liées à cette liberté, comme le journalisme. Par conséquent, aux fins
des exemptions et dérogations à établir en vertu du présent règlement, les
États membres devraient qualifier de «journalistiques» les activités ayant pour
objet de communiquer au public des informations, des opinions ou des idées,
quel que soit le vecteur utilisé pour les transmettre. Il convient de ne pas
limiter cette catégorie aux seules activités des entreprises de médias et d'y
inclure tant celles qui poursuivent un but lucratif que celles qui n'en
poursuivent pas.
|
(121)
The processing of personal data solely for journalistic
purposes, or for the purposes of artistic or literary expression should qualify
for exemption from the requirements of certain provisions of this Regulation in
order to reconcile the right to the protection of personal data with the right
to freedom of expression, and notably the right to receive and impart
information, as guaranteed in particular by Article 11 of the Charter of
Fundamental Rights of the European Union. This should apply in particular to
processing of personal data in the audiovisual field and in news archives and
press libraries. Therefore, Member States should adopt legislative measures, which
should lay down exemptions and derogations which are necessary for the purpose
of balancing these fundamental rights. Such exemptions and derogations should
be adopted by the Member States on general principles, on the rights of the
data subject, on controller and processor, on the transfer of data to third
countries or international organisations, on the independent supervisory authorities
and on co-operation and consistency. This should not, however, lead Member
States to lay down exemptions from the other provisions of this Regulation. In
order to take account of the importance of the right to freedom of expression
in every democratic society, it is necessary to interpret notions relating to
that freedom, such as journalism, broadly. Therefore, Member States should
classify activities as "journalistic" for the purpose of the
exemptions and derogations to be laid down under this Regulation if the object
of these activities is the disclosure to the public of information, opinions or
ideas, irrespective of the medium which is used to transmit them. They should
not be limited to media undertakings and may be undertaken for profit-making or
for non-profit making purposes.
|
|
(122)
Le traitement des données à caractère personnel concernant la santé, qui
constituent une catégorie spéciale de données exigeant une protection plus élevée,
peut souvent être justifié par divers motifs légitimes, dans l'intérêt des
personnes et de la société dans son ensemble, notamment lorsqu'il s'agit
d'assurer la continuité des soins de santé d'un pays à un autre. Le présent
règlement devrait donc prévoir des conditions harmonisées pour le traitement
des données à caractère personnel dans le domaine de la santé, en les
assortissant de garanties spécifiques et appropriées pour protéger les droits
fondamentaux et les données à caractère personnel des personnes physiques. Ceci
inclut leur droit d'accéder aux données ayant trait à leur santé, par exemple
les données des dossiers médicaux faisant état de diagnostics, de résultats
d'examens, d'avis de médecins traitants ou de tout traitement ou intervention effectués.
|
(122)
The processing of personal data concerning
health, as a special category of data which deserves higher protection, may
often be justified by a number of legitimate reasons for the benefit of
individuals and society as a whole, in particular in the context of ensuring
continuity of cross-border healthcare. Therefore this Regulation should provide
for harmonised conditions for the processing of personal data concerning health,
subject to specific and suitable safeguards so as to protect the fundamental
rights and the personal data of individuals. This includes the right for
individuals to have access to their personal data concerning their health, for
example the data in their medical records containing such information as
diagnosis, examination results, assessments by treating physicians and any
treatment or interventions provided.
|
|
(123)
Le traitement de données à caractère personnel concernant la santé peut
être nécessaire pour des raisons d'intérêt général dans les domaines de la
santé publique, et sans le consentement de la personne concernée. Dans ce
contexte, la notion de «santé publique» s'interprète selon la définition prévue
dans le règlement (CE) n° 1338/2008 du Parlement européen et du Conseil du
16 décembre 2008 relatif aux statistiques communautaires de la santé
publique et de la santé et de la sécurité au travail, et désigne l'ensemble des
éléments liés à la santé, à savoir, l'état de santé, y compris le décès et le
handicap, les éléments déterminant cet état de santé, les besoins en soins de
santé, les ressources allouées aux soins de santé, l'offre de soin et l'accès universel
à ces soins ainsi que les dépenses et le financement des soins de santé et les
causes de décès. Ces traitements de données à caractère personnel concernant la
santé autorisés pour des motifs d'intérêt général ne doivent pas aboutir à ce
que ces données soient traitées à d'autres fins par des tiers, tels que les
employeurs, les compagnies d'assurance et les banques.
|
(123)
The processing of personal data concerning
health may be necessary for reasons of public interest in the areas of public
health, without consent of the data subject. In that context, ‘public health’
should be interpreted as defined in Regulation (EC) No 1338/2008 of the
European Parliament and of the Council of 16 December 2008 on Community
statistics on public health and health and safety at work, meaning all elements
related to health, namely health status, including morbidity and disability,
the determinants having an effect on that health status, health care needs,
resources allocated to health care, the provision of, and universal access to,
health care as well as health care expenditure and financing, and the causes of
mortality. Such processing of personal data concerning health for reasons of
public interest should not result in personal data being processed for other
purposes by third parties such as employers, insurance and banking companies.
|
|
(124)
Les principes généraux concernant la protection des personnes physiques
à l’égard du traitement des données à caractère personnel devraient également
être applicables dans le contexte de l'emploi. En conséquence, pour réglementer
le traitement des données à caractère personnel des salariés dans ce contexte,
les États membres devraient pouvoir, dans les limites du présent règlement, adopter
par voie législative des règles spécifiques au traitement des données à
caractère personnel dans le secteur de l’emploi.
|
(124)
The general principles on the protection of
individuals with regard to the processing of personal data should also be applicable
to the employment context. Therefore, in order to regulate the processing of employees' personal data in the employment
context, Member States should be able, within the limits of this Regulation, to
adopt by law specific rules for the processing of personal data in the
employment sector.
|
|
(125)
Le traitement de données à caractère personnel à des fins statistiques
ou de recherche historique ou scientifique devrait, pour être licite, également
respecter d'autres législations pertinentes, telles que celle relative aux
essais cliniques.
|
(125)
The processing of personal data for the purposes
of historical, statistical or scientific research should, in order to be lawful,
also respect other relevant legislation such as on clinical trials.
|
|
(126)
Aux fins du présent règlement, la notion de «recherche scientifique»
devrait comprendre la recherche fondamentale, la recherche appliquée et la
recherche financée par le secteur privé, et devrait en outre tenir compte de
l'objectif de l'Union mentionné à l'article 179, paragraphe 1, du
traité sur le fonctionnement de l'Union européenne, consistant à réaliser un
espace européen de la recherche.
|
(126)
Scientific research for the purposes of this
Regulation should include fundamental research, applied research, and privately
funded research and in addition should take into account the Union's objective under
Article 179(1) of the Treaty on the Functioning of the European Union of
achieving a European Research Area.
|
|
(127)
En ce qui concerne le pouvoir qu'ont les autorités de contrôle d'obtenir
du responsable du traitement ou du sous‑traitant l’accès aux données à
caractère personnel et l'accès à ses locaux, les États membres peuvent adopter
par voie législative, dans les limites du présent règlement, des règles
spécifiques visant à préserver le secret professionnel ou d'autres obligations
équivalentes de confidentialité, dans la mesure où cela est nécessaire pour
concilier le droit à la protection des données à caractère personnel et une
obligation de secret professionnel.
|
(127)
As regards the powers of the supervisory
authorities to obtain from the controller or processor access personal data and
access to its premises, Member States may adopt by law, within the limits of
this Regulation, specific rules in order to
safeguard the professional or other equivalent secrecy obligations, in so far
as necessary to reconcile the right to the protection of personal data with an
obligation of professional secrecy.
|
|
(128)
Conformément à l'article 17 du traité sur le fonctionnement de l'Union
européenne, le présent règlement respecte et ne préjuge pas du statut dont
bénéficient, en vertu du droit national, les églises et les associations ou
communautés religieuses dans les États membres. Il s'ensuit que si, dans un
État membre, une église applique, à la date d'entrée en vigueur du présent
règlement, un ensemble complet de règles relatives à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel,
ces règles existantes devraient continuer de s'appliquer si elles sont mises en
conformité avec les dispositions du présent règlement. Ces églises et les
associations religieuses devraient être tenues d'instituer une autorité de
contrôle totalement indépendante.
|
(128)
This Regulation respects and does not prejudice
the status under national law of churches and religious associations or
communities in the Member States, as recognised in Article 17 of the Treaty on
the Functioning of the European Union. As a consequence, where a church in a
Member State applies, at the time of entry into force of this Regulation,
comprehensive rules relating to the protection of individuals with regard to
the processing of personal data, these existing rules should continue to apply
if they are brought in line with this Regulation. Such churches and religious
associations should be required to provide for the establishment of a
completely independent supervisory authority.
|
|
(129)
Afin de remplir les objectifs du présent règlement, à savoir la
protection des droits et libertés fondamentaux des personnes physiques, et en
particulier de leur droit à la protection des données à caractère personnel, et
pour garantir la libre circulation de ces dernières au sein de l’Union, le
pouvoir d'adopter des actes conformément à l’article 290 du traité sur le
fonctionnement de l'Union européenne devrait être délégué à la Commission.
Concrètement, des actes délégués devraient être adoptés en ce qui concerne la
licéité du traitement; la spécification des critères et conditions concernant
le consentement des enfants; les traitements portant sur des catégories
particulières de données; la spécification des critères et conditions
applicables aux demandes manifestement excessives et des frais facturés à la
personne concernée pour exercer ses droits; les critères et les exigences
applicables à l'information de la personne concernée et au droit d'accès; le
droit à l'oubli numérique et à l'effacement; les mesures fondées sur le
profilage; les critères et exigences en rapport avec les obligations incombant
au responsable du traitement et avec la protection des données dès la
conception ou par défaut; les sous-traitants; les critères et exigences
spécifiques pour la documentation et la sécurité du traitement; les critères et
exigences en vue d'établir une violation des données à caractère personnel et
de la notifier à l'autorité de contrôle, et les cas dans lesquels une violation
des données à caractère personnel est susceptible de porter préjudice à la
personne concernée; les critères et conditions déterminant la nécessité d'une
analyse d'impact en ce qui concerne des opérations de traitement; les critères
et exigences pour établir l'existence d'un degré élevé de risques spécifiques
justifiant une consultation préalable; la désignation et les missions du
délégué à la protection des données; les codes de conduite; les critères et
exigences applicables aux mécanismes de certification; les transferts encadrés
par des règles d'entreprise contraignantes les dérogations relatives aux
transferts; les sanctions administratives; les traitements à des fins
médicales; les traitements dans le contexte professionnel et les traitements à
des fins historiques, statistiques et de recherche scientifique. Il importe
particulièrement que la Commission procède aux consultations appropriées tout
au long de son travail préparatoire, y compris au niveau des experts. Durant la
phase de préparation et de rédaction des actes délégués, la Commission devrait
transmettre simultanément, en temps utile et en bonne et due forme, les
documents pertinents au Parlement européen et au Conseil.
|
(129)
In order to fulfil the objectives of this
Regulation, namely to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data and to
ensure the free movement of personal data within the Union, the power to adopt
acts in accordance with Article 290 of the Treaty on the Functioning of the
European Union should be delegated to the Commission. In particular, delegated
acts should be adopted in respect of lawfulness of processing; specifying the
criteria and conditions in relation to the consent of a child; processing of
special categories of data; specifying the criteria and conditions for
manifestly excessive requests and fees for exercising the rights of the data
subject; criteria and requirements for the information to the data subject and
in relation to the right of access; the right to be forgotten and to erasure; measures
based on profiling; criteria and requirements in relation to the responsibility
of the controller and to data protection by design and by default; a processor;
criteria and requirements for the documentation and the security of processing;
criteria and requirements for establishing a personal data breach and for its notification
to the supervisory authority, and on the circumstances where a personal data
breach is likely to adversely affect the data subject; the criteria and
conditions for processing operations requiring a data protection impact
assessment; the criteria and requirements for determining a high degree of specific
risks which require prior consultation; designation and tasks of the data
protection officer; codes of conduct; criteria and requirements for certification
mechanisms; criteria and requirements for transfers by way of binding corporate
rules; transfer derogations; administrative sanctions; processing for health
purposes; processing in the employment context and processing for historical,
statistical and scientific research purposes. It is of particular importance
that the Commission carry out appropriate consultations during its preparatory
work, including at expert level. The Commission, when preparing and drawing-up
delegated acts, should ensure a simultaneous, timely and appropriate
transmission of relevant documents to the European Parliament and Council.
|
|
(130)
Afin de garantir des conditions uniformes pour la mise en œuvre du
présent règlement, il y aurait lieu de conférer des compétences d'exécution à
la Commission pour qu'elle définisse les formulaires types relatifs au
traitement des données à caractère personnel des enfants; des procédures et
formulaires types pour l'exercice des droits de la personne concernée; des
formulaires types pour l'information de la personne concernée; les formulaires
types et les procédures pour le droit d'accès et le droit à la portabilité des
données; des formulaires types concernant les obligations du responsable du
traitement en matière de protection des données dès la conception, de
protection des données par défaut, et de documentation; des exigences
spécifiques relatives à la sécurité du traitement des données; de la forme
normalisée et des procédures pour la notification des violations de données à
caractère personnel à l'autorité de contrôle, et pour la communication d'une
violation des données à caractère personnel à la personne concernée; des
critères et procédures pour l'analyse d'impact relative à la protection de
données; des formulaires et des procédures d'autorisation et de consultation
préalables; des normes techniques et des mécanismes de certification; du niveau
de protection adéquat offert par un pays tiers, par un territoire ou un secteur
de traitement de données dans ce pays tiers, ou par une organisation
internationale; des divulgations non autorisées par le droit de l’Union; de
l'assistance mutuelle; des opérations conjointes; les décisions relevant du mécanisme
de contrôle de la cohérence. Ces compétences devraient être exercées
conformément au règlement (UE) n° 182/2011 du Parlement européen et
du Conseil du 16 février 2011 établissant les règles et
principes généraux relatifs aux modalités de contrôle par les États membres de
l'exercice des compétences d'exécution par la Commission[45].
Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les
micro, petites et moyennes entreprises.
|
(130)
In order to ensure uniform conditions for the
implementation of this Regulation, implementing powers should be conferred on
the Commission for: specifying standard forms in relation to the processing of personal
data of a child; standard procedures and forms for exercising the rights of
data subjects; standard forms for the information to the data subject; standard
forms and procedures in relation to the right of access; the right to data
portability; standard forms in relation to the responsibility of the controller
to data protection by design and by default and to the documentation; specific
requirements for the security of processing; the standard format and the
procedures for the notification of a personal data breach to the supervisory
authority and the communication of a personal data breach to the data subject; standards
and procedures for a data protection impact assessment; forms and procedures
for prior authorisation and prior consultation; technical standards and
mechanisms for certification; the adequate level of protection afforded by a
third country or a territory or a processing sector within that third country
or an international organisation; disclosures not authorized by Union law; mutual
assistance; joint operations; decisions under the consistency mechanism. Those
powers should be exercised in
accordance with Regulation (EU) No 182/2011 of the European Parliament and of
the Council of 16 February 2011 laying down the rules and general principles
concerning mechanisms for control by the Member States of the Commission's
exercise of implementing powers[45].
In this context, the Commission should consider specific measures for micro, small
and medium-sized enterprises.
|
|
(131)
La procédure d'examen devrait être appliquée pour l'établissement des
formulaires types en vue de l'obtention du consentement d'un enfant; des
procédures et formulaires types pour l'exercice des droits de la personne
concernée; des formulaires types pour l'information de la personne concernée;
des formulaires types et des procédures pour le droit d'accès et le droit à la
portabilité des données; des formulaires types concernant les obligations du
responsable du traitement en matière de protection des données dès la
conception, de protection des données par défaut, et de documentation; des
exigences spécifiques relatives à la sécurité du traitement des données; de la
forme normalisée et des procédures pour la notification des violations de
données à caractère personnel à l'autorité de contrôle, et pour la communication
d'une violation des données à caractère personnel à la personne concernée; des
critères et procédures pour l'analyse d'impact relative à la protection de
données; des formulaires et des procédures d'autorisation et de consultation
préalables; des normes techniques et des mécanismes de certification; du niveau
de protection adéquat offert par un pays tiers, par un territoire ou un secteur
de traitement de données dans ce pays tiers, ou par une organisation
internationale; des divulgations non autorisées par le droit de l’Union; de
l'assistance mutuelle; des opérations conjointes; et pour l'adoption des
décisions relevant du mécanisme de contrôle de la cohérence, puisque ces actes
sont de portée générale.
|
(131)
The examination procedure should be used for the
adoption of specifying standard forms in relation to the consent of a child; standard
procedures and forms for exercising the rights of data subjects; standard forms
for the information to the data subject; standard forms and procedures in
relation to the right of access;, the right to data portability; standard forms
in relation to the responsibility of the controller to data protection by
design and by default and to the documentation; specific requirements for the
security of processing; the standard format and the procedures for the notification
of a personal data breach to the supervisory authority and the communication of
a personal data breach to the data subject; standards and procedures for a data
protection impact assessment; forms and procedures for prior authorisation and
prior consultation; technical standards and mechanisms for certification; the
adequate level of protection afforded by a third country or a territory or a
processing sector within that third country or an international organisation;
disclosures not authorized by Union law; mutual assistance; joint operations;
decisions under the consistency mechanism, given that those acts are of general
scope.
|
|
(132)
La Commission devrait adopter des actes d’exécution immédiatement
applicables lorsque, dans des cas dûment justifiés concernant un pays tiers, ou
un territoire ou secteur de traitement de données dans ce pays tiers, ou une
organisation internationale, qui n'assure pas un niveau de protection adéquat,
ou concernant des questions communiquées par les autorités de contrôle dans le
cadre du mécanisme de contrôle de la cohérence, des raisons d’urgence
impérieuses l’exigent.
|
(132)
The Commission should adopt immediately
applicable implementing acts where, in duly justified cases relating to a third
country or a territory or a processing sector within that third country or an
international organisation which does not ensure an adequate level of
protection and relating to matters communicated by supervisory authorities
under the consistency mechanism, imperative grounds of urgency so require.
|
|
(133)
Étant donné que les objectifs du présent règlement, à savoir assurer un
niveau équivalent de protection des personnes physiques et la libre circulation
des données dans l'ensemble de l'Union, ne peuvent pas être réalisés de manière
suffisante par les États membres et peuvent donc, en raison des dimensions ou
des effets de l'action, être mieux réalisés au niveau de l'Union, celle-ci peut
prendre des mesures, conformément au principe de subsidiarité consacré à
l'article 5 du traité sur l'Union européenne. Conformément au principe de
proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui
est nécessaire pour atteindre cet objectif.
|
(133)
Since the objectives of this Regulation, namely
to ensure an equivalent level of protection of individuals and the free flow of
data throughout the Union, cannot be sufficiently achieved by the Member States
and can therefore, by reason of the scale or effects of the action, be better
achieved at Union level, the Union may adopt measures, in accordance with the
principle of subsidiarity as set out in Article 5 of the Treaty on European
Union. In accordance with the principle of proportionality as set out in that
Article, this Regulation does not go beyond what is necessary in order to
achieve that objective.
|
|
(134)
La directive 95/46/CE devrait être abrogée par le présent
règlement. Néanmoins, les décisions de la Commission qui ont été adoptées, et
les autorisations qui ont été accordées par les autorités de contrôle, sur le
fondement de ladite directive devraient demeurer en vigueur.
|
(134)
Directive 95/46/EC should be repealed by this
Regulation. However, Commission decisions adopted and authorisations by
supervisory authorities based on Directive 95/46/EC should remain in force.
|
|
(135)
Le présent règlement devrait s'appliquer à tous les aspects de la
protection des droits et libertés fondamentaux à l'égard du traitement des
données à caractère personnel, qui ne relèvent pas d'obligations spécifiques,
ayant le même objectif, énoncées dans la directive 2002/58/CE, y compris
les obligations incombant au responsable du traitement et les droits des
personnes physiques. Afin de clarifier la relation entre le présent règlement
et la directive 2002/58/CE, cette dernière devrait être modifiée en
conséquence.
|
(135)
This Regulation should apply to all matters
concerning the protection of fundamental rights and freedom vis-à-vis the
processing of personal data, which are not subject to specific obligations with
the same objective set out in Directive 2002/58/EC, including the obligations
on the controller and the rights of individuals. In order to clarify the
relationship between this Regulation and Directive 2002/58/EC, the latter
Directive should be amended accordingly.
|
|
(136)
En ce qui concerne l'Islande et la Norvège, le présent règlement
constitue un développement des dispositions de l'acquis de Schengen, dans la
mesure où il s'applique au traitement des données à caractère personnel par les
autorités participant à la mise en œuvre de cet acquis, au sens de l'accord
conclu par le Conseil de l'Union européenne, et la République d'Islande et le
Royaume de Norvège sur l'association de ces deux États à la mise en œuvre, à
l'application et au développement de l'acquis de Schengen[46].
|
(136)
As regards Iceland and Norway, this Regulation constitutes
a development of provisions of the Schengen acquis to the extent that it
applies to the processing of personal data by authorities involved in the
implementation of that acquis, as provided for by the Agreement concluded by
the Council of the European Union and the Republic of Iceland and the Kingdom
of Norway concerning the association of those two States with the
implementation, application and development of the Schengen acquis[46].
|
|
(137)
En ce qui concerne la Suisse, le présent règlement constitue un
développement des dispositions de l'acquis de Schengen, dans la mesure où il
s'applique au traitement des données à caractère personnel par les autorités
participant à la mise en œuvre de cet acquis, au sens de l'accord entre l'Union
européenne, la Communauté européenne et la Confédération suisse sur
l'association de la Confédération suisse à la mise en œuvre, à l'application et
au développement de l'acquis de Schengen[47].
|
(137)
As regards Switzerland, this Regulation constitutes
a development of provisions of the Schengen acquis to the extent that it
applies to the processing of personal data by authorities involved in the
implementation of that acquis, as provided for by the Agreement between the
European Union, the European Community and the Swiss Confederation concerning
the association of the Swiss Confederation with the implementation, application
and development of the Schengen acquis[47].
|
|
(138)
En ce qui concerne le Liechtenstein, le présent règlement constitue un
développement des dispositions de l'acquis de Schengen dans la mesure où il
s'applique au traitement des données à caractère personnel par les autorités
participant à la mise en œuvre de cet acquis, au sens du protocole signé entre
l'Union européenne, la Communauté européenne, la Confédération suisse et la
Principauté de Liechtenstein sur l'adhésion de la Principauté de Liechtenstein
à l'accord entre l'Union européenne, la Communauté européenne et la
Confédération suisse sur l'association de la Confédération suisse à la mise en
œuvre, à l'application et au développement de l'acquis de Schengen[48].
|
(138)
As regards Liechtenstein, this Regulation
constitutes a development of provisions of the Schengen acquis to the extent
that it applies to the processing of personal data by authorities involved in
the implementation of that acquis, as provided for by the Protocol between the
European Union, the European Community, the Swiss Confederation and the
Principality of Liechtenstein on the accession of the Principality of
Liechtenstein to the Agreement between the European Union, the European
Community and the Swiss Confederation on the Swiss Confederation’s association
with the implementation, application and development of the Schengen acquis[48].
|
|
(139)
Étant donné que, comme la Cour de justice de l'Union européenne l'a
souligné, le droit à la protection des données à caractère personnel n’apparaît
pas comme une prérogative absolue, mais doit être pris en considération par
rapport à sa fonction dans la société et être mis en balance avec d'autres
droits fondamentaux, conformément au principe de proportionnalité, le présent
règlement respecte tous les droits fondamentaux et observe les principes
reconnus par la Charte des droits fondamentaux de l’Union européenne, consacrés
par les traités, et notamment le droit au respect de la vie privée et
familiale, du domicile et des communications, le droit à la protection des
données à caractère personnel, le droit à la liberté de pensée, de conscience
et de religion, le droit à la liberté d'expression et d'information, le droit à
la liberté d'entreprise, le droit à un recours effectif et à un procès
équitable, ainsi que le respect de la diversité culturelle, religieuse et
linguistique,
|
(139)
In view of the fact that, as underlined by the
Court of Justice of the European Union, the right to the protection of personal
data is not an absolute right, but must be considered in relation to its
function in society and be balanced with other fundamental rights, in
accordance with the principle of proportionality, this Regulation respects all fundamental
rights and observes the principles recognised in the Charter of Fundamental
Rights of the European Union as enshrined in the Treaties, notably the right to
respect for private and family life, home and communications, the right to the
protection of personal data, the freedom of thought, conscience and religion, the
freedom of expression and information, the freedom to conduct a business, the
right to an effective remedy and to a fair trial as well as cultural, religious
and linguistic diversity.
|
|
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
|
HAVE ADOPTED THIS REGULATION:
|
|
CHAPITRE
I
|
CHAPTER I
|
|
DISPOSITIONS GÉNÉRALES
|
GENERAL PROVISIONS
|
|
Article premier
Objet et objectifs
|
Article 1
Subject matter and objectives
|
|
1. Le présent règlement établit des règles
relatives à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et des règles relatives à la libre circulation de
ces données.
|
1. This Regulation lays down
rules relating to the protection of individuals with regard to the processing
of personal data and rules relating to the free movement of personal data.
|
|
2. Le présent règlement protège les libertés
et droits fondamentaux des personnes physiques et en particulier leur droit à
la protection des données à caractère personnel.
|
2. This Regulation protects
the fundamental rights and freedoms of natural persons, and in particular their
right to the protection of personal data.
|
|
3. La libre circulation des données à
caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des
motifs liés à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel.
|
3. The free movement of
personal data within the Union shall neither be restricted nor prohibited for
reasons connected with the protection of individuals with regard to the
processing of personal data.
|
|
Article 2
Champ d'application matériel
|
Article 2
Material scope
|
|
1. Le présent règlement s'applique au
traitement de données à caractère personnel, automatisé en tout ou en partie,
ainsi qu'au traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier.
|
1. This Regulation applies to
the processing of personal data wholly or partly by automated means, and to the
processing other than by automated means of personal data which form part of a
filing system or are intended to form part of a filing system.
|
|
2. Le présent règlement ne s’applique pas au
traitement de données à caractère personnel:
|
2. This Regulation does not
apply to the processing of personal data:
|
|
a) dans le cadre d'une activité n'entrant pas dans le
champ d'application du droit de l'Union, en ce qui concerne notamment la
sécurité nationale;
|
(a) in the course of an activity which
falls outside the scope of Union law, in particular concerning national
security;
|
|
b) par les institutions, organes et organismes de l'Union;
|
(b) by the Union institutions, bodies,
offices and agencies;
|
|
c) par les États membres dans l'exercice d'activités qui
relèvent du champ d’application du chapitre 2 du traité sur l'Union
européenne;
|
(c) by the Member States when carrying out
activities which fall within the scope of Chapter 2 of the Treaty on European
Union;
|
|
d) par une personne physique sans but lucratif dans le
cadre de ses activités exclusivement personnelles ou domestiques;
|
(d) by a natural person without any
gainful interest in the course of its own exclusively personal or household
activity;
|
|
e) par les autorités compétentes à des fins de prévention
et de détection des infractions pénales, d'enquêtes et de poursuites en la
matière, ou d'exécution de sanctions pénales.
|
(e) by competent authorities for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties.
|
|
3. Le présent règlement s'applique sans
préjudice de la directive 2000/31/CE, et en particulier des dispositions
des articles 12 à 15 de ladite directive établissant les règles en matière
de responsabilité des prestataires intermédiaires.
|
3. This Regulation shall be
without prejudice to the application of Directive 2000/31/EC, in particular of
the liability rules of intermediary service providers in Articles 12 to 15 of
that Directive.
|
|
Article 3
Champ d'application territorial
|
Article 3
Territorial scope
|
|
1. Le présent règlement s'applique au
traitement des données à caractère personnel effectué dans le cadre des
activités d'un établissement d'un responsable du traitement de données ou d'un
sous-traitant sur le territoire de l'Union.
|
1. This Regulation applies to
the processing of personal data in the context of the activities of an
establishment of a controller or a processor in the Union.
|
|
2. Le présent règlement s'applique au
traitement des données à caractère personnel appartenant à des personnes
concernées ayant leur résidence sur le territoire l'Union, par un responsable
du traitement qui n'est pas établi dans l'Union, lorsque les activités de
traitement sont liées:
|
2. This Regulation applies to
the processing of personal data of data subjects residing in the Union by a
controller not established in the Union, where the processing activities are
related to:
|
|
a) à l'offre de biens ou de services à ces personnes
concernées dans l'Union; ou
|
(a) the offering of goods or services to
such data subjects in the Union; or
|
|
b) à l’observation de leur comportement.
|
(b) the monitoring of their behaviour.
|
|
3. Le présent règlement s'applique au
traitement de données à caractère personnel par un responsable du traitement
qui n’est pas établi dans l’Union, mais dans un lieu où la législation
nationale d’un État membre s’applique en vertu du droit international public.
|
3. This Regulation applies to
the processing of personal data by a controller not established in the Union,
but in a place where the national law of a Member State applies by virtue of
public international law.
|
|
Article 4
Définitions
|
Article 4
Definitions
|
|
Aux fins du présent règlement, on entend par:
|
For the purposes of this Regulation:
|
|
(1)
«personne concernée»: une personne physique identifiée ou une personne
physique qui peut être identifiée, directement ou indirectement, par des moyens
raisonnablement susceptibles d'être utilisés par le responsable du traitement
ou par toute autre personne physique ou morale, notamment par référence à un
numéro d’identification, à des données de localisation, à un identifiant en ligne
ou à un ou plusieurs éléments spécifiques, propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale;
|
(1)
'data subject' means an identified natural person
or a natural person who can be identified, directly or indirectly, by means
reasonably likely to be used by the controller or by any other natural or legal
person, in particular by reference to an identification number, location data,
online identifier or to one or more factors specific to the physical,
physiological, genetic, mental, economic, cultural or social identity of that
person;
|
|
(2)
«données à caractère personnel»: toute information se rapportant à une
personne concernée;
|
(2)
'personal data' means any information relating
to a data subject;
|
|
(3)
«traitement de données à caractère personnel»: toute opération ou
ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés, et
appliquée(s) à des données à caractère personnel, telle(s) que la collecte,
l’enregistrement, l’organisation, la structuration, la conservation,
l’adaptation ou la modification, l'extraction, la consultation, l’utilisation,
la communication par transmission, diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l'interconnexion, ainsi que l'effacement ou la
destruction;
|
(3)
'processing' means any operation or set of operations
which is performed upon personal data or sets of personal data, whether or not
by automated means, such as collection, recording, organization, structuring, storage,
adaptation or alteration, retrieval, consultation, use, disclosure by
transmission, dissemination or otherwise making available, alignment or
combination, erasure or destruction;
|
|
(4)
«fichier»: tout ensemble structuré de données à caractère personnel
accessibles selon des critères déterminés, que cet ensemble soit centralisé,
décentralisé ou réparti de manière fonctionnelle ou géographique;
|
(4)
'filing system' means any structured set of
personal data which are accessible according to specific criteria, whether
centralized, decentralized or dispersed on a functional or geographical basis;
|
|
(5)
«responsable du traitement»: la personne physique ou morale, l’autorité
publique, le service ou tout autre organisme qui, seul ou conjointement avec
d’autres, détermine les finalités, les conditions et les moyens du traitement
de données à caractère personnel; lorsque les finalités, les conditions et les
moyens du traitement sont déterminés par le droit de l'Union ou la législation
d'un État membre, le responsable du traitement peut être désigné, ou les
critères spécifiques applicables pour le désigner peuvent être fixés, par le
droit de l'Union ou par la législation d'un État membre;
|
(5)
'controller' means the natural or legal person, public authority, agency or any
other body which alone or jointly with others determines the purposes,
conditions and means of the processing of personal data; where the purposes,
conditions and means of processing are determined by Union law or Member State
law, the controller or the specific criteria for his nomination may be
designated by Union law or by Member State law;
|
|
(6)
«sous-traitant»: la personne physique ou morale, l'autorité publique, le
service ou tout autre organisme qui traite des données à caractère personnel
pour le compte du responsable du traitement;
|
(6)
'processor' means a natural or legal person, public authority, agency or any
other body which processes personal data on behalf of the controller;
|
|
(7)
«destinataire»: la personne physique ou morale, l'autorité publique, le
service ou tout autre organisme qui reçoit communication de données à caractère
personnel;
|
(7)
'recipient' means a natural or legal person,
public authority, agency or any other body to which the personal data are
disclosed;
|
|
(8)
«consentement de la personne concernée»: toute manifestation de volonté,
libre, spécifique, informée et explicite par laquelle la personne concernée
accepte, par une déclaration ou par un acte positif univoque, que des données à
caractère personnel la concernant fassent l'objet d'un traitement;
|
(8)
'the data subject's consent' means any freely
given specific, informed and explicit indication of his or her wishes by which
the data subject, either by a statement or by a clear affirmative action, signifies
agreement to personal data relating to them being processed;
|
|
(9)
«violation de données à caractère personnel»: une violation de la
sécurité entraînant de manière accidentelle ou illicite la destruction, la
perte, l'altération, la divulgation ou la consultation non autorisées de
données à caractère personnel transmises, conservées ou traitées d’une autre
manière;
|
(9)
'personal data breach' means a breach of security leading to the accidental or unlawful
destruction, loss, alteration, unauthorised disclosure of, or access to,
personal data transmitted, stored or otherwise processed;
|
|
(10)
«données génétiques»: toutes les données, de quelque nature que ce soit,
concernant les caractéristiques d'une personne physique qui sont héréditaires
ou acquises à un stade précoce de son développement prénatal;
|
(10)
'genetic data' means all data, of whatever type,
concerning the characteristics of an individual which are inherited or acquired
during early prenatal development;
|
|
(11)
«données biométriques»: toutes les données relatives aux caractéristiques
physiques, physiologiques ou comportementales d'une personne physique qui
permettent son identification unique, telles que des images faciales ou des
données dactyloscopiques;
|
(11)
'biometric data' means any data relating to the
physical, physiological or behavioural characteristics of an individual which
allow their unique identification, such as facial images, or dactyloscopic
data;
|
|
(12)
«données concernant la santé»: toute information relative à la santé physique
ou mentale d'une personne, ou à la prestation de services de santé à cette
personne;
|
(12)
‘data concerning health’ means any information
which relates to the physical or mental health of an individual, or to the
provision of health services to the individual;
|
|
(13)
«établissement principal»: en ce qui concerne le responsable du
traitement, le lieu de son établissement dans l'Union où sont prises les
principales décisions quant aux finalités, aux conditions et aux moyens du
traitement de données à caractère personnel; si aucune décision de ce type
n’est prise dans l’Union, l’établissement principal est le lieu où sont
exercées les principales activités de traitement dans le cadre des activités
d’un établissement d’un responsable du traitement dans l’Union; en ce qui
concerne le sous-traitant, on entend par «établissement principal» le lieu de
son administration centrale dans l'Union;
|
(13)
‘main establishment’ means as regards the
controller, the place of its establishment in the Union where the main
decisions as to the purposes, conditions and means of the processing of
personal data are taken; if no decisions as to the purposes, conditions and
means of the processing of personal data are taken in the Union, the main
establishment is the place where the main processing activities in the context
of the activities of an establishment of a controller in the Union take place.
As regards the processor, 'main establishment' means the place of its central
administration in the Union;
|
|
(14)
«représentant»: toute personne physique ou morale établie dans l'Union
expressément désignée par le responsable du traitement, qui agit en lieu et
place de ce dernier et peut être contactée à sa place par les autorités de
contrôle et d'autres entités dans l'Union, en ce qui concerne les obligations du
responsable du traitement en vertu du présent règlement;
|
(14)
‘representative’ means any natural or legal
person established in the Union who, explicitly designated by the controller,
acts and may be addressed by any supervisory authority and other bodies in the
Union instead of the controller, with regard to the obligations of the
controller under this Regulation;
|
|
(15)
«entreprise»: toute entité exerçant une activité économique, quelle que
soit sa forme juridique, y compris, notamment, les personnes physiques et
morales, les sociétés de personnes ou les associations qui exercent
régulièrement une activité économique;
|
(15)
‘enterprise’ means any entity engaged in an
economic activity, irrespective of its legal form, thus including, in
particular, natural and legal persons, partnerships or associations regularly
engaged in an economic activity;
|
|
(16)
«groupe d'entreprises»: une entreprise qui exerce le contrôle et les
entreprises qu'elle contrôle;
|
(16)
'group of undertakings' means a controlling
undertaking and its controlled undertakings;
|
|
(17)
«règles d'entreprise contraignantes»: les règles internes relatives à la
protection des données à caractère personnel qu'applique un responsable du
traitement ou un soustraitant établi sur le territoire d’un État membre de
l’Union, aux transferts ou à un ensemble de transferts de données à caractère
personnel à un responsable du traitement ou à un soustraitant dans un ou
plusieurs pays tiers au sein d'un groupe d'entreprises;
|
(17)
‘binding corporate rules’ means personal data
protection policies which are adhered to by a controller or processor
established on the territory of a Member State of the Union for transfers or a
set of transfers of personal data to a controller or processor in one or more
third countries within a group of undertakings;
|
|
(18)
«enfant»: toute personne âgée de moins de dix-huit ans;
|
(18)
'child' means any person below the age of 18
years;
|
|
(19)
«autorité de contrôle»: une autorité publique qui est instituée par un
État membre conformément aux dispositions de l'article 46.
|
(19)
'supervisory authority' means a public authority
which is established by a Member State in accordance with Article 46.
|
|
CHAPITRE II
PRINCIPES
|
CHAPTER II
PRINCIPLES
|
|
Article 5
Principes relatifs au traitement des données à caractère personnel
|
Article 5
Principles relating to personal data processing
|
|
Les données à caractère personnel doivent être:
|
Personal data must be:
|
|
a) traitées de manière licite, loyale et transparente au
regard de la personne concernée;
|
(a) processed lawfully, fairly and in a
transparent manner in relation to the data subject;
|
|
b) collectées pour des finalités déterminées, explicites
et légitimes, et ne pas être traitées ultérieurement de manière incompatible
avec ces finalités;
|
(b) collected for specified, explicit and
legitimate purposes and not further processed in a way incompatible with those
purposes;
|
|
c) adéquates, pertinentes et limitées au minimum
nécessaire au regard des finalités pour lesquelles elles sont traitées; elles
ne sont traitées que si, et pour autant que, les finalités du traitement ne
peuvent pas être atteintes par le traitement d'informations ne contenant pas de
données à caractère personnel;
|
(c) adequate, relevant, and limited to the
minimum necessary in relation to the purposes for which they are processed; they
shall only be processed if, and as long as, the purposes could not be fulfilled
by processing information that does not involve personal data;
|
|
d) exactes et tenues à jour; toutes les mesures raisonnables
sont prises pour que les données inexactes, eu égard aux finalités pour
lesquelles elles sont traitées, soient effacées ou rectifiées sans délai;
|
(d) accurate and kept up to date; every
reasonable step must be taken to ensure that personal data that are inaccurate,
having regard to the purposes for which they are processed, are erased or
rectified without delay;
|
|
e) conservées sous une forme permettant l'identification
des personnes concernées pendant une durée n'excédant pas celle nécessaire à la
réalisation des finalités pour lesquelles elles sont collectées; les données à
caractère personnel peuvent être conservées pour des durées plus longues dans
la mesure où elles ne seront traitées qu’à des fins de recherche historique,
statistique ou scientifique conformément aux règles et aux conditions énoncées
à l'article 83 et s’il est procédé à un examen périodique visant à évaluer
la nécessité de poursuivre la conservation;
|
(e) kept in a form which permits
identification of data subjects for no longer than is necessary for the
purposes for which the personal data are processed; personal data may be stored
for longer periods insofar as the data will be processed solely for historical,
statistical or scientific research purposes in accordance with the rules and
conditions of Article 83 and if a periodic review is carried out to assess the
necessity to continue the storage;
|
|
f) traitées sous la responsabilité du responsable du
traitement, qui veille à la conformité de chaque opération de traitement avec
les dispositions du présent règlement et en apporte la preuve .
|
(f) processed under the responsibility
and liability of the controller, who shall ensure and demonstrate for each
processing operation the compliance with the provisions of this Regulation.
|
|
Article 6
Licéité du traitement
|
Article 6
Lawfulness of processing
|
|
1. Le traitement de données à caractère personnel
n'est licite que si et dans la mesure où l’une au moins des situations
suivantes s'applique:
|
1. Processing of personal data shall
be lawful only if and to the extent that at least one of the following applies:
|
|
a) la personne concernée a consenti au traitement de ses
données à caractère personnel pour une ou plusieurs finalités spécifiques;
|
(a) the data subject has given consent to
the processing of their personal data for one or more specific purposes;
|
|
b) le traitement est nécessaire à l'exécution d'un contrat
auquel la personne concernée est partie ou à l'exécution de mesures
précontractuelles prises à la demande de celle-ci;
|
(b) processing is necessary for the
performance of a contract to which the data subject is party or in order to
take steps at the request of the data subject prior to entering into a
contract;
|
|
c) le traitement est nécessaire au respect d'une
obligation légale à laquelle le responsable du traitement est soumis;
|
(c) processing is necessary for compliance
with a legal obligation to which the controller is subject;
|
|
d) le traitement est nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée;
|
(d) processing is necessary in order to
protect the vital interests of the data subject;
|
|
e) le traitement est nécessaire à l'exécution d'une
mission effectuée dans l'intérêt général ou relevant de l'exercice de
l'autorité publique dont est investi le responsable du traitement;
|
(e) processing is necessary for the
performance of a task carried out in the public interest or in the exercise of
official authority vested in the controller;
|
|
f) le traitement est nécessaire aux fins des intérêts
légitimes poursuivis par un responsable du traitement, à moins que ne prévalent
les intérêts ou les libertés et droits fondamentaux de la personne concernée,
qui exigent une protection des données à caractère personnel, notamment lorsque
la personne concernée est un enfant. Ces considérations ne s'appliquent pas au
traitement effectué par les autorités publiques dans l'exécution de leurs
missions.
|
(f) processing is necessary for the
purposes of the legitimate interests pursued by a controller, except where such
interests are overridden by the interests or fundamental rights and freedoms of
the data subject which require protection of personal data, in particular where
the data subject is a child. This shall not apply to processing carried out by
public authorities in the performance of their tasks.
|
|
2. Le traitement de données à caractère
personnel qui est nécessaire à des fins de recherche historique, statistique ou
scientifique est licite sous réserve des conditions et des garanties prévues à
l'article 83.
|
2. Processing of personal
data which is necessary for the purposes of historical, statistical or
scientific research shall be lawful subject to the conditions and safeguards
referred to in Article 83.
|
|
3. Le fondement juridique du traitement visé
au paragraphe 1, points c) et e), doit être prévu dans:
|
3. The basis of the processing
referred to in points (c) and (e) of paragraph 1 must be provided for in:
|
|
a) le droit de l'Union, ou
|
(a) Union law, or
|
|
b) la législation de l'État membre à laquelle le
responsable du traitement des données est soumis.
|
(b) the law of the Member State to which
the controller is subject.
|
|
La législation de l'État membre doit répondre à un objectif
d’intérêt général ou être nécessaire à la protection des droits et libertés
d'autrui, être respectueuse du contenu essentiel du droit à la protection des
données à caractère personnel et proportionnée à l'objectif légitime poursuivi.
|
The law of the Member State must meet an
objective of public interest or must be necessary to protect the rights and
freedoms of others, respect the essence of the right to the protection of
personal data and be proportionate to the legitimate aim pursued.
|
|
4. Lorsque la finalité du traitement ultérieur
n'est pas compatible avec celle pour laquelle les données à caractère personnel
ont été collectées le traitement doit trouver sa base juridique au moins dans
l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci
s'applique en particulier à toute modification des clauses et des conditions
générales d'un contrat.
|
4. Where the purpose of
further processing is not compatible with the one for which the personal data
have been collected, the processing must have a legal basis at least in one of
the grounds referred to in points (a) to (e) of paragraph 1. This shall in
particular apply to any change of terms and general conditions of a contract.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser davantage
les conditions prévues au paragraphe 1, point f), pour divers
secteurs et situations en matière de traitement de données, y compris en ce qui
concerne le traitement des données à caractère personnel relatives à un enfant.
|
5. The Commission shall be empowered to adopt delegated acts in accordance
with Article 86 for the purpose of further specifying the conditions
referred to in point (f) of paragraph 1 for various sectors and data processing
situations, including as regards the processing of personal data related to a
child.
|
|
Article 7
Conditions de consentement
|
Article 7
Conditions for consent
|
|
1. La charge de prouver que la personne
concernée a consenti au traitement de ses données à caractère personnel à des
fins déterminées incombe au responsable du traitement.
|
1. The controller shall bear
the burden of proof for the data subject's consent to the processing of their
personal data for specified purposes.
|
|
2. Si le consentement de la personne concernée
est requis dans le contexte d'une déclaration écrite qui concerne également une
autre affaire, l'exigence du consentement doit apparaître sous une forme qui le
distingue de cette autre affaire.
|
2. If the data subject's consent
is to be given in the context of a written declaration which also concerns another
matter, the requirement to give consent must be presented distinguishable in
its appearance from this other matter.
|
|
3. La personne concernée a le droit de retirer
son consentement à tout moment. Le retrait du consentement ne compromet pas la
licéité du traitement fondé sur le consentement préalablement donné.
|
3. The data subject shall
have the right to withdraw his or her consent at any time. The withdrawal of
consent shall not affect the lawfulness of processing based on consent before
its withdrawal.
|
|
4. Le consentement ne constitue pas un
fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre
significatif entre la personne concernée et le responsable du traitement.
|
4. Consent shall not provide
a legal basis for the processing, where there is a significant imbalance
between the position of the data subject and the controller.
|
|
Article 8
Traitement de données à caractère personnel relatives aux enfants
|
Article 8
Processing of personal data of a child
|
|
1. Aux fins du présent règlement, s'agissant
de l'offre directe de services de la société de l’information aux enfants, le
traitement des données à caractère personnel relatives à un enfant de moins de
13 ans n'est licite que si et dans la mesure où le consentement est donné
ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le
responsable du traitement s’efforce raisonnablement d'obtenir un consentement
vérifiable, compte tenu des moyens techniques disponibles.
|
1. For the purposes of this
Regulation, in relation to the offering of information society services
directly to a child, the processing of personal data of a child below the age
of 13 years shall only be lawful if and to the extent that consent is given or
authorised by the child's parent or custodian. The controller shall make
reasonable efforts to obtain verifiable consent, taking into consideration
available technology.
|
|
2. Le paragraphe 1 n'affecte pas la
législation générale des États membres en matière contractuelle, telle que les
dispositions régissant la validité, la formation ou les effets d'un contrat à
l’égard d’un enfant.
|
2. Paragraph 1 shall not
affect the general contract law of Member States such as the rules on the
validity, formation or effect of a contract in relation to a child.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux méthodes d'obtention du
consentement vérifiable visé au paragraphe 1. Ce faisant, la Commission
envisage des mesures spécifiques pour les micro, petites et moyennes
entreprises.
|
3. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for the methods to obtain
verifiable consent referred to in paragraph 1. In doing so, the Commission
shall consider specific measures for micro, small and medium-sized enterprises.
|
|
4. La Commission peut établir des formulaires
types pour les méthodes particulières d'obtention du consentement vérifiable
prévu au paragraphe 1. Les actes d'exécution correspondants sont adoptés
conformément à la procédure d'examen prévue à l'article 87,
paragraphe 2.
|
4. The Commission may lay
down standard forms for specific methods to obtain verifiable consent referred
to in paragraph 1. Those implementing acts shall be adopted in accordance with
the examination procedure referred to in Article 87(2).
|
|
Article 9
Traitements portant sur des catégories particulières de données à caractère
personnel
|
Article 9
Processing of special categories of personal data
|
|
1. Le traitement des données à caractère
personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques,
la religion ou les croyances, l'appartenance syndicale, ainsi que le traitement
des données génétiques ou des données concernant la santé ou relatives à la vie
sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté
connexes sont interdits.
|
1. The processing of personal
data, revealing race or ethnic origin, political opinions, religion or beliefs,
trade-union membership, and the processing of genetic data or data concerning
health or sex life or criminal convictions or related security measures shall
be prohibited.
|
|
2. Le paragraphe 1 ne s'applique pas
lorsque:
|
2. Paragraph 1 shall not
apply where:
|
|
a) la personne concernée a
donné son consentement au traitement de ces données à caractère personnel, dans
les conditions fixées à l’article 7 et à l'article 8, sauf lorsque le
droit de l’Union ou la législation nationale prévoit que l'interdiction visée
au paragraphe 1 ne peut pas être levée par la personne concernée; ou
|
(a) the data
subject has given consent to the processing of those personal data, subject to
the conditions laid down in Articles 7 and 8, except where Union law or Member
State law provide that the prohibition referred to in paragraph 1 may not be
lifted by the data subject; or
|
|
b) le traitement est nécessaire aux fins de l’exécution
des obligations et de l’exercice des droits propres au responsable du
traitement en matière de droit du travail, dans la mesure où ce traitement est
autorisé par le droit de l’Union ou par une législation nationale prévoyant des
garanties appropriées; ou
|
(b) processing is necessary for the
purposes of carrying out the obligations and exercising specific rights of the
controller in the field of employment law in so far as it is authorised by Union law or Member State law providing for
adequate safeguards; or
|
|
c) le traitement est nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où
la personne concernée se trouve dans l'incapacité physique ou juridique de
donner son consentement, ou
|
(c) processing is necessary to protect the
vital interests of the data subject or of another
person where the data subject is physically or legally incapable of giving
consent; or
|
|
d) le traitement est effectué, dans le cadre de leurs
activités légitimes et moyennant les garanties appropriées, par une fondation,
une association ou tout autre organisme à but non lucratif et poursuivant une
finalité politique, philosophique, religieuse ou syndicale, à condition que
ledit traitement se rapporte exclusivement aux membres ou aux anciens membres
de cet organisme ou aux personnes entretenant avec lui des contacts réguliers
en liaison avec ses objectifs et que les données ne soient pas divulguées à un
tiers extérieur à cet organisme sans le consentement des personnes concernées; ou
|
(d) processing is carried out in the
course of its legitimate activities with appropriate safeguards by a
foundation, association or any other non-profit-seeking body with a political,
philosophical, religious or trade-union aim and on condition that the
processing relates solely to the members or to former members of the body or to
persons who have regular contact with it in connection with its purposes and
that the data are not disclosed outside that body without the consent of the
data subjects; or
|
|
e) le traitement porte sur des données à caractère
personnel manifestement rendues publiques par la personne concernée; ou
|
(e) the processing relates to personal data
which are manifestly made public by the data subject; or
|
|
f) le traitement est nécessaire à la constatation, à
l'exercice ou à la défense d'un droit en justice; ou
|
(f) processing is necessary for the
establishment, exercise or defence of legal claims; or
|
|
g) le traitement est nécessaire à l'exécution d'une
mission effectuée dans l'intérêt général sur le fondement du droit de l’Union
ou d’un État membre, qui doit prévoir des mesures appropriées à la sauvegarde
des intérêts légitimes de la personne concernée; ou
|
(g) processing is necessary for the
performance of a task carried out in the public interest, on the basis of Union
law, or Member State law which shall provide for suitable measures to safeguard
the data subject's legitimate interests; or
|
|
h) le traitement des données relatives à la santé est
nécessaire à des fins liées à la santé, sous réserve des conditions et des
garanties prévues à l'article 81; ou
|
(h) processing of data concerning health
is necessary for health purposes and subject to the conditions and safeguards
referred to in Article 81; or
|
|
i) le traitement est nécessaire à des fins de recherche
historique, statistique ou scientifique, sous réserve des conditions et des
garanties prévues à l'article 83; ou
|
(i) processing is necessary for
historical, statistical or scientific research purposes subject to the
conditions and safeguards referred to in Article 83; or
|
|
j) le traitement des données relatives aux condamnations
pénales ou aux mesures de sûreté connexes est effectué soit sous le contrôle de
l'autorité publique, ou lorsque le traitement est nécessaire au respect d'une
obligation légale ou réglementaire à laquelle le responsable du traitement est
soumis, ou à l'exécution d'une mission effectuée pour des motifs importants
d'intérêt général, dans la mesure où ce traitement est autorisé par le droit de
l’Union ou par la législation d'un État membre prévoyant des garanties
adéquates. Un registre complet des condamnations pénales ne peut être tenu que
sous le contrôle de l'autorité publique.
|
(j) processing of data relating to
criminal convictions or related security measures is carried out either under
the control of official authority or when the processing is necessary for
compliance with a legal or regulatory obligation to which a controller is
subject, or for the performance of a task carried out for important public
interest reasons, and in so far as authorised by Union
law or Member State law providing for adequate safeguards. A complete register
of criminal convictions shall be kept only under the control of official
authority.
|
|
3. La Commission est habilitée à adopter des actes
délégués en conformité avec l’article 86, aux fins de préciser davantage
les critères, les conditions et les garanties appropriées pour le traitement
des catégories particulières de données à caractère personnel mentionnées au
paragraphe 1, ainsi que les dérogations prévues au paragraphe 2.
|
3. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria, conditions and appropriate safeguards for
the processing of the special categories of personal data referred to in
paragraph 1 and the exemptions laid down in paragraph 2.
|
|
Article 10
Traitement ne permettant pas l'identification
|
Article 10
Processing not allowing identification
|
|
Si les données traitées par un responsable du traitement ne
lui permettent pas d'identifier une personne physique, le responsable du
traitement n'est pas tenu d'obtenir des informations supplémentaires pour
identifier la personne concernée à la seule fin de respecter une disposition du
présent règlement.
|
If the data processed by a controller do
not permit the controller to identify a natural person, the controller shall
not be obliged to acquire additional information in order to identify the data
subject for the sole purpose of complying with any provision of this
Regulation.
|
|
CHAPITRE
III
DROITS DE LA PERSONNE CONCERNÉE
|
CHAPTER III
RIGHTS
OF THE DATA SUBJECT
|
|
SECTION 1
TRANSPARENCE ET MODALITÉS
|
SECTION 1
TRANSPARENCY AND MODALITIES
|
|
Article 11
Transparence des informations et des communications
|
Article 11
Transparent information and communication
|
|
1. Le responsable du traitement applique des
règles internes transparentes et facilement accessibles en ce qui concerne le
traitement des données à caractère personnel et en vue de l’exercice de leurs
droits par les personnes concernées.
|
1. The controller shall have
transparent and easily accessible policies with regard to the processing of
personal data and for the exercise of data subjects' rights.
|
|
2. Le responsable du traitement procède à
toutes information et communication relatives au traitement des données à
caractère personnel à la personne concernée, sous une forme intelligible et en
des termes clairs et simples, adaptés à la personne concernée, en particulier
lorsqu'une information est adressée spécifiquement à un enfant.
|
2. The controller shall
provide any information and any communication relating to the processing of
personal data to the data subject in an intelligible form, using clear and
plain language, adapted to the data subject, in particular for any information addressed
specifically to a child.
|
|
Article 12
Procédures et mécanismes prévus pour l'exercice des droits de la personne
concernée
|
Article 12
Procedures and mechanisms for exercising the rights of the data subject
|
|
1. Le responsable du traitement établit les
procédures d'information prévues à l’article 14 et les procédures
d'exercice des droits des personnes concernées mentionnés aux articles 13,
et 15 à 19. Il met notamment en place des mécanismes facilitant l’introduction
de la demande portant sur les mesures prévues aux articles 13, et 15 à 19.
Lorsque des données à caractère personnel font l'objet d'un traitement
automatisé, le responsable du traitement doit également fournir les moyens
d'effectuer des demandes par voie électronique.
|
1. The controller shall establish
procedures for providing the information referred to in Article 14 and for the exercise
of the rights of data subjects referred to in Article 13 and Articles 15 to 19.
The controller shall provide in particular mechanisms for facilitating the request
for the actions referred to in Article 13 and Articles 15 to 19. Where personal
data are processed by automated means, the controller shall also provide means
for requests to be made electronically.
|
|
2. Le responsable du traitement informe la
personne concernée sans tarder et, au plus tard, dans un délai d'un mois à
compter de la réception de la demande, indépendamment de l'éventuelle adoption
d'une mesure conformément aux articles 13, et 15 à 19 et fournit les
informations demandées. Ce délai peut être prolongé d'un mois, si plusieurs
personnes concernées exercent leurs droits et si leur coopération est
suffisamment nécessaire pour empêcher un effort inutile et disproportionné de
la part du responsable du traitement. Ces informations sont données par écrit.
Lorsque la personne concernée en fait la demande sous forme électronique, les
informations sont fournies sous forme électronique, à moins que la personne
concernée ne demande qu'il en soit autrement.
|
2. The controller shall inform
the data subject without delay and, at
the latest within one month of receipt of the
request, whether or not any action has been taken pursuant to Article 13
and Articles 15 to 19 and shall provide the requested information. This period
may be prolonged for a further month, if several data subjects exercise their
rights and their cooperation is necessary to a reasonable extent to prevent an unnecessary
and disproportionate effort on the part of the controller. The information
shall be given in writing. Where the data subject makes the request in
electronic form, the information shall be provided in electronic form, unless
otherwise requested by the data subject.
|
|
3. Si le responsable du traitement refuse de
prendre des mesures demandées par la personne concernée, il informe cette
dernière des motifs du refus, des possibilités d'introduire une réclamation
auprès de l'autorité de contrôle et de former un recours juridictionnel.
|
3. If the controller refuses
to take action on the request of the data subject, the controller shall inform
the data subject of the reasons for the refusal and on the possibilities of lodging
a complaint to the supervisory authority and seeking a judicial remedy.
|
|
4. Les informations et les mesures prises dans
le cadre des demandes visées au paragraphe 1 sont gratuites. Lorsque les
demandes sont manifestement excessives, notamment en raison de leur caractère
répétitif, le responsable du traitement peut exiger le paiement de frais pour fournir
les informations ou pour prendre les mesures demandées, peut s'abstenir de
prendre les mesures demandées. Dans ce cas, il incombe au responsable du
traitement de prouver le caractère manifestement excessif de la demande.
|
4. The information and the actions
taken on requests referred to in paragraph 1 shall be free of charge. Where requests
are manifestly excessive, in particular because of their repetitive character,
the controller may charge a fee for providing the information or taking the
action requested, or the controller may not take the action requested. In that case,
the controller shall bear the burden of proving the manifestly excessive
character of the request.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et conditions applicables aux demandes manifestement
excessives, et les frais visés au paragraphe 4.
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and conditions for the manifestly excessive
requests and the fees referred to in paragraph 4.
|
|
6. La Commission peut établir des formulaires
types et préciser des procédures types pour la communication visée au
paragraphe 2, y compris sous forme électronique. Ce faisant, la Commission
prend les mesures appropriées pour les micro, petites et moyennes entreprises.
Les actes d'exécution correspondants sont adoptés conformément à la procédure
d'examen prévue à l'article 87, paragraphe 2.
|
6. The Commission may lay
down standard forms and specifying standard procedures for the communication
referred to in paragraph 2, including the electronic format. In doing so, the
Commission shall take the appropriate measures for micro, small and medium-sized
enterprises. Those implementing acts shall be adopted in accordance with the
examination procedure referred to in Article 87(2).
|
|
Article 13
Droits à l'égard des destinataires
|
Article 13
Rights in relation to recipients
|
|
Le responsable du traitement communique à chaque
destinataire à qui les données ont été transmises toute rectification ou
effacement effectué conformément aux articles 16 et 17, à moins qu'une
telle communication se révèle impossible ou suppose un effort disproportionné.
|
The controller shall communicate any
rectification or erasure carried out in accordance with Articles 16 and 17 to
each recipient to whom the data have been disclosed, unless this proves
impossible or involves a disproportionate effort.
|
|
SECTION 2
INFORMATION ET ACCÈS AUX DONNÉES
|
SECTION
2
INFORMATION AND ACCESS TO DATA
|
|
Article 14
Informations à fournir la personne concernée
|
Article 14
Information to the data subject
|
|
1. Lorsque des données à caractère personnel
relatives à une personne concernée sont collectées, le responsable du
traitement doit fournir à cette personne au moins les informations suivantes:
|
1. Where personal data
relating to a data subject are collected, the controller shall provide the data
subject with at least the following information:
|
|
a) l’identité et les coordonnées du responsable du
traitement et, le cas échéant, du représentant du responsable et celles du
délégué à la protection des données;
|
(a) the identity and the contact details
of the controller and, if any, of the controller's representative and of the
data protection officer;
|
|
b) les finalités du traitement auquel sont destinées les
données à caractère personnel, y compris les clauses et les conditions
générales du contrat lorsque le traitement est fondé sur l’article 6,
paragraphe 1, point b), et les intérêts légitimes poursuivis par le
responsable du traitement lorsque le traitement est fondé sur l’article 6,
paragraphe 1, point f);
|
(b) the purposes of the processing for
which the personal data are intended, including the contract terms and general
conditions where the processing is based on point (b) of Article 6(1) and the
legitimate interests pursued by the controller where the processing is based on
point (f) of Article 6(1);
|
|
c) la durée pendant laquelle les données à caractère
personnel seront conservées;
|
(c) the period for which the personal data
will be stored;
|
|
d) l’existence du droit de demander au responsable du
traitement l'accès aux données à caractère personnel relatives à la personne
concernée, la rectification ou l'effacement de celles-ci, ou du droit de
s'opposer au traitement de ces données;
|
(d) the existence of the right to request
from the controller access to and rectification or erasure of the personal data
concerning the data subject or to object to the processing of such personal data;
|
|
e) le droit d’introduire une réclamation auprès de
l'autorité de contrôle et les coordonnées de ladite autorité;
|
(e) the right to lodge a complaint to the
supervisory authority and the contact details of the supervisory authority;
|
|
f) les destinataires ou les catégories de destinataires
des données à caractère personnel;
|
(f) the recipients or categories of
recipients of the personal data;
|
|
g) le cas échéant, son intention d'effectuer un transfert
vers un pays tiers ou à une organisation internationale, et le niveau de
protection offert par le pays tiers ou l'organisation internationale en
question, par référence à une décision relative au caractère adéquat du niveau
de protection rendue par la Commission;
|
(g) where applicable, that the controller
intends to transfer to a third country or international organisation and on the
level of protection afforded by that third country or international
organisation by reference to an adequacy decision by the Commission;
|
|
h) toute autre information nécessaire pour assurer un
traitement loyal des données à l'égard de la personne concernée, compte tenu
des circonstances particulières dans lesquelles les données à caractère
personnel sont collectées.
|
(h) any further information necessary to
guarantee fair processing in respect of the data subject, having regard to the
specific circumstances in which the personal data are collected.
|
|
2. Lorsque les données à caractère personnel
sont collectées auprès de la personne concernée, le responsable du traitement
fournit à cette dernière, outre les informations mentionnées au
paragraphe 1, des informations sur le caractère obligatoire ou facultatif
de la fourniture des données à caractère personnel, ainsi que sur les
conséquences éventuelles de la non-fourniture de ces données.
|
2. Where the personal data
are collected from the data subject, the controller shall inform the data
subject, in addition to the information referred to in paragraph 1, whether the
provision of personal data is obligatory or voluntary, as well as the possible
consequences of failure to provide such data.
|
|
3. Lorsque les données à caractère personnel
ne sont pas collectées auprès de la personne concernée, le responsable du
traitement fournit à cette dernière, outre les informations mentionnées au
paragraphe 1, des informations relatives à l'origine des données à
caractère personnel.
|
3. Where the personal data
are not collected from the data subject, the controller shall inform the data
subject, in addition to the information referred to in paragraph 1, from which
source the personal data originate.
|
|
4. Le responsable du traitement fournit les
informations visées aux paragraphes 1, 2 et 3:
|
4. The controller shall
provide the information referred to in paragraphs 1, 2 and 3:
|
|
a) au moment où les données à caractère personnel sont
recueillies auprès de la personne concernée, ou
|
(a) at the
time when the personal data are obtained from the data subject; or
|
|
b) lorsque les données à caractère personnel ne sont pas
collectées auprès de la personne concernée, au moment de l’enregistrement ou
dans un délai raisonnable après la collecte, eu égard aux circonstances
particulières dans lesquelles les données sont collectées ou traitées, ou si la
communication à un autre destinataire est envisagée, et au plus tard au moment
où les données sont communiquées pour la première fois.
|
(b) where the personal data are not collected
from the data subject, at the time of the recording or within a reasonable
period after the collection, having regard to the specific circumstances in
which the data are collected or otherwise processed, or, if a disclosure to
another recipient is envisaged, and at the latest when the data are first
disclosed.
|
|
5. Les dispositions des paragraphes 1 et 4 ne
s'appliquent pas lorsque:
|
5. Paragraphs 1 to 4 shall
not apply, where:
|
|
a) la personne concernée dispose déjà des informations
visées aux paragraphes 1, 2 et 3; ou
|
(a) the data subject has already the
information referred to in paragraphs 1, 2 and 3; or
|
|
b) les données ne sont pas collectées auprès de la
personne concernée et que la fourniture de ces informations se révèle
impossible ou supposerait des efforts disproportionnés; ou
|
(b) the data are not collected from the
data subject and the provision of such information proves impossible or would
involve a disproportionate effort; or
|
|
c) les données ne sont pas collectées auprès de la
personne concernée et que l'enregistrement ou la communication des données sont
expressément prévus par la législation; ou
|
(c) the data are not collected from the
data subject and recording or disclosure is expressly laid down by law; or
|
|
d) les données ne sont pas collectées auprès de la
personne concernée et que la fourniture de ces informations porte atteinte aux
droits et libertés d'autrui tels qu'ils sont définis dans le droit de l'Union
ou le droit des États membres, conformément à l'article 21.
|
(d) the data are not collected from the
data subject and the provision of such information will impair the rights and
freedoms of others, as defined in Union law or Member State law in accordance
with Article 21.
|
|
6. Dans le cas visé au paragraphe 5,
point b), le responsable du traitement prend les mesures appropriées pour
protéger les intérêts légitimes de la personne concernée.
|
6. In the case referred to in
point (b) of paragraph 5, the controller shall provide appropriate measures to
protect the data subject's legitimate interests.
|
|
7. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères applicables aux catégories de destinataires visées au
paragraphe 1, point f), l'obligation d'informer sur les possibilités
d'accès prévues au paragraphe 1, point g), les critères applicables à
l'obtention des informations supplémentaires nécessaires visées au
paragraphe 1, point h), pour les secteurs et les situations
spécifiques, et les conditions et les garanties appropriées encadrant les exceptions
prévues au paragraphe 5, point b). Ce faisant, la Commission prend
les mesures appropriées pour les micro, petites et moyennes entreprises.
|
7. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria for categories of recipients referred
to in point (f) of paragraph 1, the requirements for the notice of potential
access referred to in point (g) of paragraph 1, the criteria for the further
information necessary referred to in point (h) of paragraph 1 for specific
sectors and situations, and the conditions and appropriate safeguards for the
exceptions laid down in point (b) of paragraph 5. In doing so, the Commission shall
take the appropriate measures for micro, small and medium-sized-enterprises.
|
|
8. La Commission peut établir des formulaires
types pour la communication des informations énumérées aux paragraphes 1 à
3, compte tenu des caractéristiques et des besoins particuliers des différents
secteurs et, le cas échéant, des situations impliquant le traitement de
données. Les actes d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
|
8. The Commission may lay down
standard forms for providing the information referred to in paragraphs 1 to 3,
taking into account the specific characteristics and needs of various sectors
and data processing situations where necessary. Those implementing acts shall
be adopted in accordance with the examination procedure referred to in Article 87(2).
|
|
Article 15
Droit d'accès de la personne concernée
|
Article 15
Right of access for the data subject
|
|
1. La personne concernée a le droit d'obtenir,
à tout moment, à sa demande, auprès du responsable du traitement, confirmation
que les données à caractère personnel la concernant sont ou ne sont pas
traitées. Lorsque ces données à caractère personnel sont traitées, le
responsable du traitement fournit les informations suivantes:
|
1. The data subject shall have
the right to obtain from the controller at any time, on request, confirmation
as to whether or not personal data relating to the data subject are being
processed. Where such personal data are being processed, the controller shall
provide the following information:
|
|
a) les finalités du traitement;
|
(a) the purposes of the processing;
|
|
b) les catégories de données à caractère personnel
concernées;
|
(b) the categories of personal data
concerned;
|
|
c) les destinataires ou les catégories de destinataires
auxquels les données à caractère personnel doivent être ou ont été
communiquées, en particulier lorsque les destinataires sont établis dans des
pays tiers;
|
(c) the recipients or categories of
recipients to whom the personal data are to be or have been disclosed, in
particular to recipients in third countries;
|
|
d) la durée pendant laquelle les données à caractère personnel
seront conservées;
|
(d) the period for which the personal data
will be stored;
|
|
e) l’existence du droit de demander au responsable du
traitement la rectification ou l'effacement de données à caractère personnel
relatives à la personne concernée ou de s'opposer au traitement de ces données;
|
(e) the existence of the right to request
from the controller rectification or erasure of personal data concerning the
data subject or to object to the processing of such personal data;
|
|
f) le droit d’introduire une réclamation auprès de
l'autorité de contrôle et les coordonnées de ladite autorité;
|
(f) the right to lodge a complaint to the
supervisory authority and the contact details of the supervisory authority;
|
|
g) la communication des données à caractère personnel en
cours de traitement, ainsi que toute information disponible sur l’origine de
ces données;
|
(g) communication of the personal data
undergoing processing and of any available information as to their source;
|
|
h) l'importance et les
conséquences envisagées de ce traitement, au moins dans le cas des mesures
prévues à l'article 20.
|
(h) the significance and envisaged consequences of such
processing, at least in the case of measures referred to in Article 20.
|
|
2. La personne concernée a le droit d'obtenir
du responsable du traitement la communication des données à caractère personnel
en cours de traitement. Lorsque la personne concernée en fait la demande sous
forme électronique, les informations sont fournies sous forme électronique, à
moins que la personne concernée ne demande qu'il en soit autrement.
|
2. The data subject shall
have the right to obtain from the controller communication of the personal data
undergoing processing. Where the data subject makes the request in electronic
form, the information shall be provided in electronic form, unless otherwise
requested by the data subject.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables à la communication, à la
personne concernée, du contenu des données à caractère personnel mentionnées au
paragraphe 1, point g).
|
3. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for the communication
to the data subject of the content of the personal data referred to in point
(g) of paragraph 1.
|
|
4. La Commission peut préciser les formulaires
types et les procédures de demande et d'accès aux informations mentionnées au
paragraphe 1, y compris pour la vérification de l’identité de la personne
concernée et la communication de ses données à caractère personnel à la personne
concernée, compte tenu des besoins et des caractéristiques spécifiques des
différents secteurs et situations impliquant le traitement de données. Les
actes d'exécution correspondants sont adoptés conformément à la procédure
d'examen prévue à l'article 87, paragraphe 2.
|
4. The Commission may specify
standard forms and procedures for requesting and granting access to the information
referred to in paragraph 1, including for verification of the identity of the data
subject and communicating the personal data to the data subject, taking into
account the specific features and necessities of various sectors and data
processing situations. Those implementing acts shall be adopted in accordance
with the examination procedure referred to in Article 87(2).
|
|
SECTION 3
|
SECTION 3
|
|
RECTIFICATION ET EFFACEMENT
|
RECTIFICATION AND ERASURE
|
|
Article 16
Droit de rectification
|
Article 16
Right to rectification
|
|
La personne concernée a le droit d'obtenir du responsable du
traitement la rectification des données à caractère personnel la concernant qui
sont inexactes. La personne concernée a le droit d’obtenir que les données à
caractère personnel incomplètes soient complétées, y compris au moyen d'une
déclaration rectificative complémentaire.
|
The data subject shall have the right to
obtain from the controller the rectification of personal data relating to them which
are inaccurate. The data subject shall have the right to obtain completion of
incomplete personal data, including by way of supplementing a corrective
statement.
|
|
Article 17
Droit à l'oubli numérique et à l'effacement
|
Article 17
Right to be forgotten and to erasure
|
|
1.
La personne concernée a le droit d'obtenir du responsable du traitement
l’effacement de données à caractère personnel la concernant et la cessation de
la diffusion de ces données, en particulier en ce qui concerne des données à
caractère personnel que la personne concernée avait rendues disponibles
lorsqu’elle était enfant, ou pour l'un des motifs suivants:
|
1.
The data subject shall have the right to obtain
from the controller the erasure of personal data relating to them and the
abstention from further dissemination of such data, especially in relation to
personal data which are made available by the data subject while he or she was
a child, where one of the following grounds applies:
|
|
a) les données ne sont plus nécessaires au regard des
finalités pour lesquelles elles ont été collectées ou traitées,
|
(a) the data are no longer necessary in
relation to the purposes for which they were collected or otherwise processed;
|
|
b) la personne concernée retire le consentement sur lequel
est fondé le traitement, conformément à l'article 6, paragraphe 1,
point a), ou lorsque le délai de conservation autorisé a expiré et qu'il
n'existe pas d'autre motif légal au traitement des données;
|
(b) the data subject withdraws consent on
which the processing is based according to point (a) of Article 6(1), or when
the storage period consented to has expired, and where there is no other legal
ground for the processing of the data;
|
|
c) la personne concernée s'oppose au traitement des données
à caractère personnel en vertu de l'article 19;
|
(c) the data subject objects to the
processing of personal data pursuant to Article 19;
|
|
d) le traitement des données n'est pas conforme au présent
règlement pour d'autres motifs.
|
(d) the processing of the data does not
comply with this Regulation for other reasons.
|
|
2. Lorsque le responsable du traitement visé
au paragraphe 1 a rendu publiques les données à caractère personnel, il
prend toutes les mesures raisonnables, y compris les mesures techniques, en ce
qui concerne les données publiées sous sa responsabilité, en vue d'informer les
tiers qui traitent lesdites données qu'une personne concernée leur demande
d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou
reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un
tiers à publier des données à caractère personnel, il est réputé responsable de
cette publication.
|
2. Where the controller
referred to in paragraph 1 has made the personal data public, it shall take all reasonable steps, including technical
measures, in relation to data for the publication of
which the controller is responsible, to inform third
parties which are processing such data, that a data subject requests them to
erase any links to, or copy or replication of that personal data. Where the
controller has authorised a third party publication of personal data, the
controller shall be considered responsible for that
publication.
|
|
3. Le responsable du traitement procède à
l'effacement sans délai, sauf lorsque la conservation des données à caractère
personnel est nécessaire:
|
3. The controller shall carry
out the erasure without delay, except to the extent that the retention of the
personal data is necessary:
|
|
a) à l'exercice du droit à la liberté d'expression,
conformément à l'article 80;
|
(a)
for exercising the right of freedom of
expression in accordance with Article 80;
|
|
b) pour des motifs d'intérêt général dans le domaine de la
santé publique, conformément à l'article 81;
|
(b)
for reasons of public interest in the area of
public health in accordance with Article 81;
|
|
c) à des fins de recherche historique, statistique et
scientifique, conformément à l'article 83;
|
(c)
for historical, statistical and scientific
research purposes in accordance with Article 83;
|
|
d) au respect d'une obligation légale de conserver les
données à caractère personnel prévue par le droit de l'Union ou par la
législation d'un État membre à laquelle le responsable du traitement est
soumis; la législation de l'État membre doit répondre à un objectif d’intérêt
général, respecter le contenu essentiel du droit à la protection des données à caractère
personnel et être proportionnée à l'objectif légitime poursuivi;
|
(d)
for compliance with a legal obligation to retain
the personal data by Union or Member State law to which the controller is
subject; Member State laws shall meet an objective of public interest, respect
the essence of the right to the protection of personal data and be proportionate
to the legitimate aim pursued;
|
|
e) dans les cas mentionnés au paragraphe 4.
|
(e)
in the cases referred to in paragraph 4.
|
|
4. Au lieu de procéder à l'effacement, le
responsable du traitement limite le traitement de données à caractère
personnel:
|
4. Instead of erasure, the
controller shall restrict processing of personal data where:
|
|
a) pendant une durée permettant au responsable du
traitement de vérifier l’exactitude des données lorsque
cette dernière est contestée par la personne concernée;
|
(a) their accuracy is contested by the
data subject, for a period enabling the controller to verify the accuracy of
the data;
|
|
b) lorsqu’elles ne sont plus utiles au responsable du
traitement pour qu’il s’acquitte de sa mission, mais qu'elles doivent être
conservées à des fins probatoires, ou
|
(b) the controller no longer needs the
personal data for the accomplishment of its task but they have to be maintained
for purposes of proof;
|
|
c) lorsque leur traitement est illicite et que la personne
concernée s'oppose à leur effacement et exige à la place la limitation de leur
utilisation;
|
(c) the processing is unlawful and the
data subject opposes their erasure and requests the restriction of their use
instead;
|
|
d) lorsque la personne concernée demande le transfert des
données à caractère personnel à un autre système de traitement automatisé,
conformément à l'article 18, paragraphe 2.
|
(d) the data subject requests to transmit
the personal data into another automated processing system in accordance with
Article 18(2).
|
|
5. Les données à caractère personnel énumérées
au paragraphe 4 ne peuvent être traitées, à l’exception de la
conservation, qu’à des fins probatoires, ou avec le consentement de la personne
concernée, ou aux fins de la protection des droits d’une autre personne
physique ou morale ou pour un objectif d’intérêt général.
|
5. Personal data referred to
in paragraph 4 may, with the exception of storage, only be processed for
purposes of proof, or with the data subject's consent, or for the protection of
the rights of another natural or legal person or for an objective of public
interest.
|
|
6. Lorsque le traitement des données à
caractère personnel est limité conformément au paragraphe 4, le
responsable du traitement informe la personne concernée avant de lever la
limitation frappant le traitement.
|
6. Where processing of
personal data is restricted pursuant to paragraph 4, the controller shall
inform the data subject before lifting the restriction on processing.
|
|
7. Le responsable du traitement met en œuvre
des mécanismes assurant le respect des délais applicables à l’effacement des
données à caractère personnel et/ou à un examen périodique de la nécessité de
conserver ces données.
|
7. The controller shall
implement mechanisms to ensure that the time limits established for the erasure
of personal data and/or for a periodic review of the need for the storage of
the data are observed.
|
|
8. Lorsque l'effacement est effectué, le
responsable du traitement ne procède à aucun autre traitement de ces données à
caractère personnel.
|
8. Where the erasure is
carried out, the controller shall not otherwise process such personal data.
|
|
9. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser:
|
9. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying:
|
|
a) les exigences et critères relatifs à l'application du
paragraphe 1 dans des secteurs spécifiques et des situations spécifiques
impliquant le traitement de données;
|
(a) the criteria and requirements for the
application of paragraph 1 for specific sectors and in specific data processing
situations;
|
|
b) les conditions de la suppression des liens vers ces
données à caractère personnel, des copies ou des reproductions de celles-ci
existant dans les services de communication accessibles au public, ainsi que le
prévoit le paragraphe 2;
|
(b) the conditions for deleting links, copies
or replications of personal data from publicly available communication services
as referred to in paragraph 2;
|
|
c) les conditions et critères applicables à la limitation
du traitement des données à caractère personnel, visés au paragraphe 4.
|
(c) the criteria and conditions for
restricting the processing of personal data referred to in paragraph 4.
|
|
Article 18
Droit à la portabilité des données
|
Article 18
Right to data portability
|
|
1. Lorsque des données à caractère personnel
font l'objet d'un traitement automatisé dans un format structuré et couramment
utilisé, la personne concernée a le droit d'obtenir auprès du responsable du
traitement une copie des données faisant l'objet du traitement automatisé dans
un format électronique structuré qui est couramment utilisé et qui permet la
réutilisation de ces données par la personne concernée.
|
1. The data subject shall
have the right, where personal data are processed by electronic means and in a
structured and commonly used format, to obtain from the controller a copy of
data undergoing processing in an electronic and structured format which is
commonly used and allows for further use by the data subject.
|
|
2. Lorsque la personne concernée a fourni les
données à caractère personnel et que le traitement est fondé sur le
consentement ou sur un contrat, elle a le droit de transmettre ces données à
caractère personnel et toutes autres informations qu'elle a fournies et qui
sont conservées par un système de traitement automatisé à un autre système dans
un format électronique qui est couramment utilisé, sans que le responsable du traitement
auquel les données à caractère personnel sont retirées n'y fasse obstacle.
|
2. Where the data subject has
provided the personal data and the processing is based on consent or on a
contract, the data subject shall have the right to transmit those personal data
and any other information provided by the data subject and retained by an
automated processing system, into another one, in an electronic format which is
commonly used, without hindrance from the controller from whom the personal
data are withdrawn.
|
|
3. La Commission peut préciser le format
électronique visé au paragraphe 1, ainsi que les normes techniques, les
modalités et les procédures pour la transmission de données à caractère
personnel conformément au paragraphe 2. Les actes d'exécution
correspondants sont adoptés conformément à la procédure d'examen prévue à
l'article 87, paragraphe 2.
|
3. The Commission may specify
the electronic format referred to in paragraph 1 and the technical standards,
modalities and procedures for the transmission of personal data pursuant to
paragraph 2. Those implementing acts shall be adopted in accordance with the
examination procedure referred to in Article 87(2).
|
|
SECTION 4
|
SECTION 4
|
|
DROIT D'OPPOSITION ET PROFILAGE
|
RIGHT
TO OBJECT AND PROFILING
|
|
Article 19
Droit d'opposition
|
Article 19
Right to object
|
|
1. La personne concernée a le droit de
s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à
ce que des données à caractère personnel fassent l'objet d'un traitement fondé
sur l'article 6, paragraphe 1, points d), e) et f), à moins que
le responsable du traitement n'établisse l’existence de raisons impérieuses et
légitimes justifiant le traitement, qui priment les intérêts ou les libertés et
droits fondamentaux de la personne concernée.
|
1. The data subject shall
have the right to object, on grounds relating to their particular situation, at
any time to the processing of personal data which is based on points (d), (e)
and (f) of Article 6(1), unless the controller demonstrates compelling
legitimate grounds for the processing which override the interests or
fundamental rights and freedoms of the data subject.
|
|
2. Lorsque les données à caractère personnel
sont traitées à des fins de marketing direct, la personne concernée a le droit
de s'opposer au traitement de ses données à caractère personnel en vue de ce
marketing direct. Ce droit est explicitement proposé à la personne concernée
d'une façon intelligible et doit pouvoir être clairement distingué d'autres
informations.
|
2. Where personal data are
processed for direct marketing purposes, the data subject shall have the right
to object free of charge to the processing of their personal data for such
marketing. This right shall be explicitly offered to the data subject in an
intelligible manner and shall be clearly distinguishable from other
information.
|
|
3. Lorsqu'il est fait droit à une opposition
conformément aux paragraphes 1 et 2, le responsable du traitement n'utilise ni
ne traite plus les données à caractère personnel concernées.
|
3. Where an objection is upheld
pursuant to paragraphs 1 and 2, the controller shall no longer use or otherwise
process the personal data concerned.
|
|
Article 20
Mesures fondées sur le profilage
|
Article 20
Measures based on profiling
|
|
1. Toute personne physique a le droit de ne
pas être soumise à une mesure produisant des effets juridiques à son égard ou
l'affectant de manière significative, prise sur le seul fondement d'un
traitement automatisé destiné à évaluer certains aspects personnels propres à
cette personne physique ou à analyser ou prévoir en particulier le rendement
professionnel de celle-ci, sa situation économique, sa localisation, son état
de santé, ses préférences personnelles, sa fiabilité ou son comportement.
|
1. Every natural person shall
have the right not to be subject to a measure which produces legal effects
concerning this natural person or significantly affects this natural person,
and which is based solely on automated processing intended to evaluate certain
personal aspects relating to this natural person or to analyse or predict in
particular the natural person's performance at work, economic situation,
location, health, personal preferences, reliability or behaviour.
|
|
2.
Sous réserve des autres dispositions du présent règlement, une personne
ne peut être soumise à une mesure telle que celle visée au paragraphe 1
que si le traitement:
|
2.
Subject to the other provisions of this Regulation, a person may be subjected to a
measure of the kind referred to in paragraph 1 only if the processing:
|
|
a) est effectué dans le cadre de la conclusion ou de
l'exécution d'un contrat, lorsque la demande de conclusion ou d’exécution du
contrat, introduite par la personne concernée, a été satisfaite ou qu'ont été
invoquées des mesures appropriées garantissant la sauvegarde des intérêts
légitimes de la personne concernée, tels que le droit d’obtenir une
intervention humaine; ou
|
(a) is carried out in the course of the
entering into, or performance of, a contract, where the request for the
entering into or the performance of the contract, lodged by the data subject,
has been satisfied or where suitable measures to safeguard the data subject's legitimate
interests have been adduced, such as the right to obtain human intervention; or
|
|
b) est expressément autorisé par une législation de
l'Union ou d'un État membre qui prévoit également des mesures appropriées
garantissant la sauvegarde des intérêts légitimes de la personne concernée; ou
|
(b) is expressly authorized by a Union or
Member State law which also lays down suitable measures to safeguard the data
subject's legitimate interests; or
|
|
c) est fondé sur le consentement de la personne concernée,
sous réserve des conditions énoncées à l’article 7 et de garanties
appropriées.
|
(c) is based on the data subject's
consent, subject to the conditions laid down in
Article 7 and to suitable safeguards.
|
|
3.
Le traitement automatisé de données à caractère personnel destiné à
évaluer certains aspects personnels propres à une personne physique ne saurait
être exclusivement fondé sur les catégories particulières de données à
caractère personnel mentionnées à l’article 9.
|
3.
Automated processing of personal data intended
to evaluate certain personal aspects relating to a natural person shall not be
based solely on the special categories of personal data referred to in Article 9.
|
|
4. Dans les cas prévus au paragraphe 2,
les informations que le responsable du traitement doit fournir en vertu de
l'article 14 comportent notamment des informations relatives à l’existence
du traitement pour une mesure telle que celle visée au paragraphe 1 et aux
effets escomptés de ce traitement sur la personne concernée.
|
4. In the cases referred to
in paragraph 2, the information to be provided by the controller under Article 14
shall include information as to the existence of processing for a measure of
the kind referred to in paragraph 1 and the envisaged effects of such
processing on the data subject.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser davantage
les critères et conditions applicables aux mesures appropriées garantissant la
sauvegarde des intérêts légitimes de la personne concernée conformément au
paragraphe 2.
|
5. The
Commission shall be empowered to adopt delegated acts in accordance with
Article 86 for the purpose of further specifying the criteria and conditions
for suitable measures to safeguard the data subject's
legitimate interests referred to in paragraph 2.
|
|
SECTION 5
Limitations
|
SECTION 5
Restrictions
|
|
Article 21
Limitations
|
Article 21
Restrictions
|
|
1. Le droit de l'Union ou le droit des États
membres peuvent, par la voie de mesures législatives, limiter la portée des
obligations et des droits prévus à l'article 5, points a) à e), aux
articles 11 à 20 et à l'article 32, lorsqu'une telle limitation
constitue une mesure nécessaire et proportionnée dans une société démocratique
pour:
|
1. Union or Member State law
may restrict by way of a legislative measure the scope of the obligations and
rights provided for in points (a) to (e) of Article 5 and Articles 11 to 20 and
Article 32, when such a restriction constitutes a necessary and proportionate
measure in a democratic society to safeguard:
|
|
a) assurer la
sécurité publique;
|
(a) public security;
|
|
b) assurer la prévention et la détection d'infractions
pénales, ainsi que les enquêtes et les poursuites en la matière;
|
(b) the prevention, investigation,
detection and prosecution of criminal offences;
|
|
c) sauvegarder d'autres intérêts généraux de l'Union ou
d'un État membre, notamment un intérêt économique ou financier important de
l’Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire
et fiscal, ainsi que la stabilité et l'intégrité des marchés;
|
(c) other public
interests of the Union or of a Member State, in particular an important
economic or financial interest of the Union or of a Member State, including
monetary, budgetary and taxation matters and the protection of market stability
and integrity;
|
|
d) assurer la prévention et la détection de manquements à
la déontologie des professions réglementées, ainsi que les enquêtes et les
poursuites en la matière;
|
(d) the prevention, investigation,
detection and prosecution of breaches of ethics for regulated professions;
|
|
e) assurer une mission de contrôle, d'inspection ou de
réglementation liée, même occasionnellement, à l'exercice de l'autorité
publique, dans les cas visés aux points a), b), c) et d);
|
(e) a monitoring, inspection or regulatory
function connected, even occasionally, with the exercise of official authority
in cases referred to in (a), (b), (c) and (d);
|
|
f) garantir la protection de la personne concernée ou des
droits et libertés d'autrui.
|
(f) the protection of the data subject or
the rights and freedoms of others.
|
|
2. Tout mesure législative visée au
paragraphe 1 doit notamment contenir des dispositions spécifiques
relatives, au moins, aux finalités du traitement et aux modalités
d'identification du responsable du traitement.
|
2. In particular, any
legislative measure referred to in paragraph 1 shall contain specific
provisions at least as to the objectives to be pursued by the processing and the
determination of the controller.
|
|
CHAPITRE
IV
|
CHAPTER IV
|
|
RESPONSABLE DU TRAITEMENT ET
SOUS‑TRAITANT
|
CONTROLLER AND
PROCESSOR
|
|
SECTION 1
OBLIGATIONS GÉNÉRALES
|
SECTION
1
GENERAL OBLIGATIONS
|
|
Article 22
Obligations incombant au responsable du traitement
|
Article 22
Responsibility of the controller
|
|
1. Le responsable du traitement adopte des
règles internes et met en œuvre les mesures appropriées pour garantir, et être
à même de démontrer, que le traitement des données à caractère personnel est
effectué dans le respect du présent règlement.
|
1. The controller shall adopt
policies and implement appropriate measures to ensure and be able to demonstrate
that the processing of personal data is performed in compliance with this
Regulation.
|
|
2. Les mesures prévues au paragraphe 1 portent
notamment sur:
|
2. The measures provided for
in paragraph 1 shall in particular include:
|
|
a) la tenue de la documentation en application de
l'article 28;
|
(a)
keeping the documentation pursuant to Article 28;
|
|
b) la mise en œuvre des obligations en matière de sécurité
des données prévues à l’article 30;
|
(b)
implementing the data security requirements
laid down in Article 30;
|
|
c) la réalisation d'une analyse d’impact relative à la
protection des données en application de l'article 33;
|
(c)
performing a data protection impact assessment pursuant
to Article 33;
|
|
d) le respect des obligations en matière d'autorisation ou
de consultation préalables de l'autorité de contrôle en application de
l'article 34, paragraphes 1 et 2;
|
(d)
complying with the requirements for prior
authorisation or prior consultation of the supervisory authority pursuant to
Article 34(1) and (2);
|
|
e) la désignation d'un délégué à la protection des données
en application de l’article 35, paragraphe 1.
|
(e)
designating a data protection officer pursuant to
Article 35(1).
|
|
3. Le responsable du traitement met en œuvre
des mécanismes pour vérifier l’efficacité des mesures énoncées aux paragraphes
1 et 2. Sous réserve de la
proportionnalité d'une telle mesure, des auditeurs indépendants internes ou
externes procèdent à cette vérification.
|
3. The controller shall implement mechanisms to ensure the verification
of the effectiveness of the measures referred to in paragraphs 1 and 2. If proportionate, this verification shall be carried
out by independent internal or external auditors.
|
|
4. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage d'éventuels critères et exigences supplémentaires applicables aux
mesures appropriées visées au paragraphe 1, autres que celles déjà visés au
paragraphe 2, les conditions de vérification et mécanismes d'audit visés au paragraphe
3 et le critère de proportionnalité prévu au paragraphe 3, et afin d'envisager
des mesures spécifiques pour les micro, petites entreprises et moyennes
entreprises.
|
4. The
Commission shall be empowered to adopt delegated acts in accordance with
Article 86 for the purpose of specifying any further criteria and requirements
for appropriate measures referred to in paragraph 1 other than those already referred
to in paragraph 2, the conditions for the verification and auditing mechanisms
referred to in paragraph 3 and as regards the criteria for proportionality
under paragraph 3, and considering specific measures for micro, small and medium-sized-enterprises.
|
|
Article 23
Protection des données dès la conception et protection des données par défaut
|
Article 23
Data protection by design and by default
|
|
1. Compte étant tenu des techniques les plus
récentes et des coûts liés à leur mise en œuvre, le responsable du traitement
applique, tant lors de la définition des moyens de traitement que lors du
traitement proprement dit, les mesures et procédures techniques et
organisationnelles appropriées de manière à ce que le traitement soit conforme
aux prescriptions du présent règlement et garantisse la protection des droits
de la personne concernée.
|
1. Having regard to the state of the art and the cost of
implementation, the controller shall, both at the time of the determination of
the means for processing and at the time of the processing itself, implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of this Regulation and ensure
the protection of the rights of the data subject.
|
|
2. Le responsable du traitement met en œuvre
des mécanismes visant à garantir que, par défaut, seules seront traitées les
données à caractère personnel nécessaires à chaque finalité spécifique du
traitement, ces données n'étant, en particulier, pas collectées ou conservées
au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la
quantité de données que de la durée de leur conservation. En particulier, ces
mécanismes garantissent que, par défaut, les données à caractère personnel ne
sont pas rendues accessibles à un nombre indéterminé de personnes physiques.
|
2. The controller shall
implement mechanisms for ensuring that, by default, only those personal data
are processed which are necessary for each specific purpose of the processing
and are especially not collected or retained beyond the minimum necessary for
those purposes, both in terms of the amount of the data and the time of their
storage. In particular, those mechanisms shall ensure that by default personal
data are not made accessible to an indefinite number of individuals.
|
|
3. La Commission est
habilitée à adopter des actes délégués en conformité avec l’article 86,
aux fins de préciser d'éventuels critères et exigences supplémentaires
applicables aux mesures appropriées et aux mécanismes visés aux paragraphes 1
et 2, en ce qui concerne notamment les exigences en matière de protection des
données dès la conception applicables à l’ensemble des secteurs, produits et
services.
|
3. The Commission shall be empowered to adopt delegated
acts in accordance with Article 86 for the purpose of specifying any further
criteria and requirements for appropriate measures and mechanisms referred to
in paragraph 1 and 2, in particular for data protection by design requirements applicable
across sectors, products and services.
|
|
4. La Commission peut
définir des normes techniques pour les exigences fixées aux paragraphes 1
et 2. Les actes d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
|
4. The
Commission may lay down technical standards for the requirements laid down in
paragraph 1 and 2. Those implementing acts shall be adopted in accordance with
the examination procedure referred to in Article 87(2).
|
|
Article 24
Responsables conjoints du traitement
|
Article 24
Joint controllers
|
|
Lorsqu'un responsable du traitement définit, conjointement
avec d'autres, les finalités, conditions et moyens du traitement de données à
caractère personnel, les responsables conjoints du traitement définissent, par
voie d’accord, leurs obligations respectives afin de se conformer aux exigences
du présent règlement, en ce qui concerne notamment les procédures et mécanismes
régissant l'exercice des droits de la personne concernée.
|
Where a controller determines the purposes,
conditions and means of the processing of personal data jointly with others,
the joint controllers shall determine their respective responsibilities for compliance
with the obligations under this Regulation, in particular as regards the
procedures and mechanisms for exercising the rights of the data subject, by
means of an arrangement between them.
|
|
Article 25
Représentants des responsables du traitement qui ne sont pas établis dans
l’Union
|
Article 25
Representatives of controllers not established
in the Union
|
|
1. Dans le cas visé à l'article 3,
paragraphe 2, le responsable du traitement désigne un représentant dans
l'Union.
|
1. In the situation referred
to in Article 3(2), the controller shall designate a representative in the
Union.
|
|
2. Cette obligation ne s’applique pas:
|
2. This obligation shall not
apply to:
|
|
a) à un responsable du traitement établi dans un pays
tiers lorsque la Commission a constaté par voie de décision que ce pays tiers
assurait un niveau de protection adéquat conformément à l'article 41; ou
|
(a) a controller established in a third
country where the Commission has decided that the third country ensures an
adequate level of protection in accordance with Article 41; or
|
|
b) à une entreprise employant moins de 250 salariés;
ou
|
(b) an enterprise employing fewer than 250
persons; or
|
|
c) à une autorité ou à un organisme publics; ou
|
(c) a public authority or body; or
|
|
d) à un responsable du traitement n'offrant
qu'occasionnellement des biens ou des services à des personnes concernées
résidant dans l'Union.
|
(d) a controller offering only
occasionally goods or services to data subjects residing in the Union.
|
|
3. Le représentant est établi dans l'un des
États membres dans lesquels résident les personnes physiques dont les données à
caractère personnel sont traitées dans le contexte de l'offre de biens ou de
services qui leur est proposée ou dont le comportement est observé.
|
3. The representative shall
be established in one of those Member States where the data subjects whose
personal data are processed in relation to the offering of goods or services to
them, or whose behaviour is monitored, reside.
|
|
4. La désignation d'un représentant par le
responsable du traitement est sans préjudice d'actions en justice qui
pourraient être intentées contre le responsable du traitement lui‑même.
|
4. The designation of a
representative by the controller shall be without
prejudice to legal actions which could be initiated against the controller itself.
|
|
Article 26
Sous‑traitant
|
Article 26
Processor
|
|
1. Lorsque le traitement est effectué pour son
compte, le responsable du traitement choisit un sous‑traitant qui présente des
garanties suffisantes de mise en œuvre des mesures et procédures techniques et
organisationnelles appropriées, de manière à ce que le traitement soit conforme
aux prescriptions du présent règlement et garantisse la protection des droits
de la personne concernée, en ce qui concerne notamment les mesures de sécurité
technique et d'organisation régissant le traitement à effectuer, et veille au
respect de ces mesures.
|
1. Where a processing
operation is to be carried out on behalf of a controller, the controller shall
choose a processor providing sufficient guarantees to implement appropriate
technical and organisational measures and procedures in such a way that the
processing will meet the requirements of this Regulation and ensure the
protection of the rights of the data subject, in particular in respect of the technical
security measures and organizational measures governing the processing to be
carried out and shall ensure compliance with those measures.
|
|
2. La réalisation de traitements en sous‑traitance
est régie par un contrat ou un autre acte juridique qui lie le sous‑traitant au
responsable du traitement et qui prévoit notamment que le sous‑traitant:
|
2. The carrying out of
processing by a processor shall be governed by a contract or other legal act
binding the processor to the controller and stipulating in particular that the
processor shall:
|
|
a) n'agit que sur instruction du responsable du
traitement, en particulier lorsque le transfert des données à caractère
personnel utilisées est interdit;
|
(a) act only on instructions from the
controller, in particular, where the transfer of the personal data used is
prohibited;
|
|
b) n'emploie que du personnel qui a pris des engagements
de confidentialité ou qui est soumis à une obligation légale de
confidentialité;
|
(b) employ only staff who have committed
themselves to confidentiality or are under a statutory obligation of
confidentiality;
|
|
c) prend toutes les mesures nécessaires en vertu de
l’article 30;
|
(c) take all required measures pursuant to
Article 30;
|
|
d) n'engage un autre sous‑traitant que moyennant
l'autorisation préalable du responsable du traitement;
|
(d) enlist another processor only with the
prior permission of the controller;
|
|
e) dans la mesure du possible compte tenu de la nature du
traitement, crée, en accord avec le responsable du traitement, les conditions
techniques et organisationnelles nécessaires pour permettre au responsable du
traitement de s'acquitter de son obligation de donner suite aux demandes dont
les personnes concernées le saisissent en vue d'exercer leurs droits prévus au
chapitre III;
|
(e) insofar as this is possible given the
nature of the processing, create in agreement with the controller the necessary
technical and organisational requirements for the fulfilment of the
controller’s obligation to respond to requests for exercising the data
subject’s rights laid down in Chapter III;
|
|
f) aide le responsable du
traitement à garantir le respect des obligations prévues aux articles 30 à
34;
|
(f) assist
the controller in ensuring compliance with the obligations pursuant to Articles
30 to 34;
|
|
g) transmet tous les résultats au responsable du
traitement après la fin du traitement et s'abstient de traiter les données à
caractère personnel de toute autre manière;
|
(g) hand over all results to the
controller after the end of the processing and not process the personal data
otherwise;
|
|
h) met à la disposition du responsable du traitement et de
l'autorité de contrôle toutes les informations nécessaires au contrôle du
respect des obligations prévues par le présent article.
|
(h) make available to the controller and
the supervisory authority all information necessary to control compliance with
the obligations laid down in this Article.
|
|
3. Le responsable du traitement et le sous‑traitant
conservent une trace documentaire des instructions données par le responsable
du traitement et des obligations du sous‑traitant énoncées au
paragraphe 2.
|
3. The controller and the
processor shall document in writing the controller's instructions and the
processor's obligations referred to in paragraph 2.
|
|
4. S'il traite des données à caractère
personnel d'une manière autre que celle définie dans les instructions du
responsable du traitement, le sous‑traitant est considéré comme responsable du
traitement à l’égard de ce traitement et il est soumis aux dispositions
applicables aux responsables conjoints du traitement prévues à
l'article 24.
|
4. If a processor processes personal
data other than as instructed by the controller, the processor shall be
considered to be a controller in respect of that processing and shall be
subject to the rules on joint controllers laid down in Article 24.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux responsabilités,
obligations et missions d'un sous‑traitant en conformité avec le
paragraphe 1, ainsi que les conditions qui permettent de faciliter le
traitement des données à caractère personnel au sein d’un groupe d’entreprises,
en particulier aux fins de contrôle et de présentation de rapports.
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for the responsibilities,
duties and tasks in relation to a processor in line with paragraph 1, and
conditions which allow facilitating the processing of personal data within a
group of undertakings, in particular for the purposes of control and reporting.
|
|
Article 27
Traitement effectué sous l'autorité du responsable du traitement et du sous‑traitant
|
Article 27
Processing under the authority of the controller and processor
|
|
Le sous‑traitant ainsi que toute personne agissant sous
l'autorité du responsable du traitement ou sous celle du sous‑traitant, qui a
accès à des données à caractère personnel, ne peut les traiter que sur
instruction du responsable du traitement, à moins d’y être obligé par la
législation de l'Union ou d’un État membre.
|
The processor and any person acting under
the authority of the controller or of the processor who has access to personal
data shall not process them except on instructions from the controller, unless
required to do so by Union or Member State law.
|
|
Article 28
Documentation
|
Article 28
Documentation
|
|
1. Chaque responsable du traitement et chaque
sous‑traitant ainsi que, le cas échéant, le représentant du responsable du
traitement, conservent une trace documentaire de tous les traitements effectués
sous leur responsabilité.
|
1. Each controller and
processor and, if any, the controller's representative, shall maintain
documentation of all processing operations under its responsibility.
|
|
2. La documentation constituée comporte au
moins les informations suivantes:
|
2. The documentation shall
contain at least the following information:
|
|
a) le nom et les coordonnées du responsable du traitement,
ou de tout responsable conjoint du traitement ou de tout sous‑traitant, et du
représentant, le cas échéant;
|
(a) the name and contact details of the
controller, or any joint controller or processor, and of the representative, if
any;
|
|
b) le nom et les coordonnées du délégué à la protection
des données, le cas échéant;
|
(b) the name and contact details of the
data protection officer, if any;
|
|
c) les finalités du traitement, y compris les intérêts
légitimes poursuivis par le responsable du traitement, lorsque le traitement se
fonde sur l'article 6, paragraphe 1, point f);
|
(c) the purposes of the processing,
including the legitimate interests pursued by the controller where the
processing is based on point (f) of Article 6(1);
|
|
d) une description des catégories de personnes concernées
et des catégories de données à caractère personnel s'y rapportant;
|
(d) a description of categories of data
subjects and of the categories of personal data relating to them;
|
|
e) les destinataires ou les catégories de destinataires
des données à caractère personnel, y compris les responsables du traitement
auxquels les données à caractère personnel sont communiquées aux fins de
l'intérêt légitime qu'ils poursuivent;
|
(e) the recipients or categories of
recipients of the personal data, including the controllers to whom personal
data are disclosed for the legitimate interest pursued by them;
|
|
f) le cas échéant, les transferts de données vers un pays
tiers ou à une organisation internationale, y compris le nom de ce pays tiers
ou de cette organisation internationale et, dans le cas des transferts visés à
l'article 44, paragraphe 1, point h), les documents attestant
l’existence de garanties appropriées;
|
(f) where applicable, transfers of data
to a third country or an international organisation, including the
identification of that third country or international organisation and, in case
of transfers referred to in point (h) of Article 44(1), the documentation of
appropriate safeguards;
|
|
g) une indication générale des délais impartis pour
l'effacement des différentes catégories de données;
|
(g) a general indication of the time
limits for erasure of the different categories of data;
|
|
h) la description des mécanismes prévus à
l'article 22, paragraphe 3.
|
(h) the description of the mechanisms referred
to in Article 22(3).
|
|
3. Le responsable du traitement et le sous‑traitant
ainsi que, le cas échéant, le représentant du responsable du traitement mettent
la documentation à la disposition de l'autorité de contrôle, à la demande de
celle‑ci.
|
3. The controller and the processor
and, if any, the controller's representative, shall make the documentation
available, on request, to the supervisory authority.
|
|
4. Les obligations visées aux paragraphes 1 et 2
ne s'appliquent pas aux responsables du traitement et aux sous‑traitants
relevant des catégories suivantes:
|
4. The obligations referred
to in paragraphs 1 and 2 shall not apply to the following controllers and
processors:
|
|
a) personnes physiques traitant des données à caractère
personnel en l'absence de tout intérêt commercial; ou
|
(a) a natural person processing personal
data without a commercial interest; or
|
|
b) entreprises ou organismes comptant moins de
250 salariés traitant des données à caractère personnel uniquement dans le
cadre d'une activité qui est accessoire à leur activité principale.
|
(b) an enterprise or an organisation employing
fewer than 250 persons that is processing personal data only as an activity
ancillary to its main activities.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables à la documentation visée au
paragraphe 1, pour tenir compte, notamment, des obligations du responsable
du traitement et du sous‑traitant et, le cas échéant, du représentant du
responsable du traitement.
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for the documentation referred
to in paragraph 1, to take account of in particular the responsibilities of the
controller and the processor and, if any, the controller's representative.
|
|
6. La Commission peut établir des formulaires
types pour la documentation visée au paragraphe 1. Les actes d'exécution
correspondants sont adoptés conformément à la procédure d'examen prévue à
l'article 87, paragraphe 2.
|
6. The Commission may lay
down standard forms for the documentation referred to in paragraph 1. Those
implementing acts shall be adopted in accordance with the examination procedure
referred to in Article 87(2).
|
|
Article 29
Coopération avec l'autorité de contrôle
|
Article 29
Co-operation with the supervisory authority
|
|
1. Le responsable du
traitement et le sous‑traitant ainsi que, le cas échéant, le représentant du
responsable du traitement, coopèrent, sur demande, avec l’autorité de contrôle
dans l'exécution de ses fonctions, en communiquant notamment les informations
énoncées à l'article 53, paragraphe 2, point a), et en accordant un accès,
conformément aux dispositions du point b) dudit paragraphe.
|
1. The
controller and the processor and, if any, the representative of the controller,
shall co-operate, on request, with the supervisory authority in the performance
of its duties, in particular by providing the information referred to in point
(a) of Article 53(2) and by granting access as provided in point (b) of that
paragraph.
|
|
2. Lorsque l'autorité
de contrôle exerce les pouvoirs qui lui sont conférés en vertu de
l'article 53, paragraphe 2, le responsable du traitement et le sous‑traitant
répondent à l'autorité de contrôle dans un délai raisonnable devant être fixé
par celle‑ci. La réponse comprend une description des mesures prises et des
résultats obtenus, compte tenu des observations formulées par l'autorité de
contrôle.
|
2. In
response to the supervisory authority's exercise of its powers under Article 53(2),
the controller and the processor shall reply
to the supervisory authority within a reasonable period to be specified by the
supervisory authority. The reply shall include a description of the measures
taken and the results achieved, in response to the remarks of the supervisory
authority.
|
|
SECTION 2
SÉCURITÉ DES DONNÉES
|
SECTION
2
data SECURITY
|
|
Article 30
Sécurité des traitements
|
Article 30
Security of processing
|
|
1. Le responsable du traitement et le sous‑traitant
mettent en œuvre les mesures techniques et organisationnelles appropriées afin
de garantir, compte étant tenu des techniques les plus récentes et des coûts
liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés
par le traitement et à la nature des données à caractère personnel à protéger.
|
1. The controller and the
processor shall implement appropriate technical and organisational measures to
ensure a level of security appropriate to the risks represented by the
processing and the nature of the personal data to be protected, having regard
to the state of the art and the costs of their implementation.
|
|
2. À la suite d'une évaluation des risques, le
responsable du traitement et le sous‑traitant prennent les mesures prévues au
paragraphe 1 pour protéger les données à caractère personnel contre la
destruction accidentelle ou illicite et la perte accidentelle et pour empêcher
toute forme illicite de traitement, notamment la divulgation, la diffusion ou
l'accès non autorisés, ou l'altération de données à caractère personnel.
|
2. The controller and the
processor shall, following an evaluation of the risks, take the measures referred
to in paragraph 1 to protect personal data against accidental or unlawful
destruction or accidental loss and to prevent any unlawful forms of processing,
in particular any unauthorised disclosure, dissemination or access, or
alteration of personal data.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux mesures techniques et
d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir
quelles sont les techniques les plus modernes, pour des secteurs spécifiques et
dans des cas spécifiques de traitement de données, notamment compte tenu de
l'évolution des techniques et des solutions de protection des données dès la
conception ainsi que par défaut, sauf si le paragraphe 4 s'applique.
|
3. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and conditions for the technical and
organisational measures referred to in paragraphs 1 and 2, including the
determinations of what constitutes the state of the art, for specific sectors
and in specific data processing situations, in particular taking account of
developments in technology and solutions for privacy by design and data
protection by default, unless paragraph 4 applies.
|
|
4. La Commission peut adopter, le cas échéant,
des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1
et 2 dans diverses situations, en particulier en vue:
|
4. The Commission may adopt,
where necessary, implementing acts for specifying the requirements laid down in
paragraphs 1 and 2 to various situations, in particular to:
|
|
a) d’empêcher tout accès non autorisé à des données à
caractère personnel;
|
(a) prevent any unauthorised access to
personal data;
|
|
b) d'empêcher toute forme non autorisée de divulgation, de
lecture, de copie, de modification, d'effacement ou de suppression de données à
caractère personnel;
|
(b) prevent any unauthorised disclosure,
reading, copying, modification, erasure or removal of personal data;
|
|
c) d'assurer la vérification de la licéité des
traitements.
|
(c) ensure the verification of the
lawfulness of processing operations.
|
|
Ces actes d'exécution sont adoptés conformément à la procédure
d'examen prévue à l'article 87, paragraphe 2.
|
Those implementing acts shall be adopted in
accordance with the examination procedure referred to in Article 87(2).
|
|
Article 31
Notification à l'autorité de contrôle d'une
violation de données à caractère personnel
|
Article 31
Notification of a personal data breach to the
supervisory authority
|
|
1. En cas de violation de données à caractère
personnel, le responsable du traitement en adresse notification à l'autorité de
contrôle sans retard injustifié et, si possible, 24 heures au plus tard
après en avoir pris connaissance. Lorsqu'elle a lieu après ce délai de
24 heures, la notification comporte une justification à cet égard.
|
1. In the case of a personal
data breach, the controller shall without undue delay and, where feasible, not
later than 24 hours after having become aware of it, notify the personal data
breach to the supervisory authority. The notification to the supervisory
authority shall be accompanied by a reasoned justification in cases where it is
not made within 24 hours.
|
|
2. En vertu de l’article 26, paragraphe 2,
point f), le sous‑traitant alerte et informe le responsable du traitement
immédiatement après avoir constaté la violation de données à caractère
personnel.
|
2. Pursuant to point (f) of Article
26(2), the processor shall alert and inform the controller immediately after
the establishment of a personal data breach.
|
|
3. La notification visée au paragraphe 1
doit, à tout le moins:
|
3. The notification referred
to in paragraph 1 must at least:
|
|
a) décrire la nature de la violation de données à
caractère personnel, y compris les catégories et le nombre de personnes
concernées par la violation et les catégories et le nombre d’enregistrements de
données concernés;
|
(a) describe the nature of the personal
data breach including the categories and number of data subjects concerned and
the categories and number of data records concerned;
|
|
b) communiquer l’identité et les coordonnées du délégué à
la protection des données ou d'un autre point de contact auprès duquel des
informations supplémentaires peuvent être obtenues;
|
(b) communicate the identity and contact
details of the data protection officer or other contact point where more
information can be obtained;
|
|
c) recommander des mesures à prendre pour atténuer les
éventuelles conséquences négatives de la violation de données à caractère
personnel;
|
(c) recommend measures to mitigate the
possible adverse effects of the personal data breach;
|
|
d) décrire les conséquences de la violation de données à
caractère personnel;
|
(d) describe the consequences of the
personal data breach;
|
|
e) décrire les mesures proposées ou prises par le
responsable du traitement pour remédier à la violation de données à caractère
personnel.
|
(e) describe the measures proposed or
taken by the controller to address the personal data breach.
|
|
4. Le responsable du traitement conserve une
trace documentaire de toute violation de données à caractère personnel, en
indiquant son contexte, ses effets et les mesures prises pour y remédier. La
documentation constituée doit permettre à l'autorité de contrôle de vérifier le
respect des dispositions du présent article. Elle comporte uniquement les
informations nécessaires à cette fin.
|
4. The controller shall
document any personal data breaches, comprising the facts surrounding the
breach, its effects and the remedial action taken. This documentation must
enable the supervisory authority to verify compliance with this Article. The documentation
shall only include the information necessary for that purpose.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser davantage
les critères et exigences applicables à l’établissement de la violation de
données visée aux paragraphes 1 et 2 et concernant les circonstances
particulières dans lesquelles un responsable du traitement et un sous-traitant
sont tenus de notifier la violation de données à caractère personnel.
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for establishing the data
breach referred to in paragraphs 1 and 2 and for the particular circumstances
in which a controller and a processor is required to notify the personal data
breach.
|
|
6. La Commission peut définir la forme
normalisée de cette notification à l'autorité de contrôle, les procédures
applicables à l’obligation de notification ainsi que le formulaire type et les
modalités selon lesquelles est constituée la documentation visée au paragraphe 4,
y compris les délais impartis pour l’effacement des informations qui y
figurent. Les actes d'exécution correspondants sont adoptés conformément à la
procédure d'examen prévue à l'article 87, paragraphe 2.
|
6. The Commission may lay
down the standard format of such notification to the supervisory authority, the
procedures applicable to the notification requirement and the form and the
modalities for the documentation referred to in paragraph 4, including the time
limits for erasure of the information contained therein. Those implementing
acts shall be adopted in accordance with the examination procedure referred to
in Article 87(2).
|
|
Article 32
Communication à la personne concernée d'une
violation de données à caractère personnel
|
Article 32
Communication of a personal data breach to
the data subject
|
|
1. Lorsque la violation de données à caractère
personnel est susceptible de porter atteinte à la protection des données à
caractère personnel ou à la vie privée de la personne concernée, le responsable
du traitement, après avoir procédé à la notification prévue à l'article 31,
communique la violation sans retard indu à la personne concernée.
|
1. When the personal data breach
is likely to adversely affect the protection of the personal data or privacy of
the data subject, the controller shall, after the notification referred to in
Article 31, communicate the personal data breach to the data subject without
undue delay.
|
|
2. La communication à la personne concernée
prévue au paragraphe 1 décrit la nature de la violation des données à caractère
personnel et contient au moins les informations et recommandations prévues à
l’article 31, paragraphe 3, points b) et c).
|
2. The communication to the
data subject referred to in paragraph 1 shall describe the nature of the
personal data breach and contain at least the information and the
recommendations provided for in points (b) and (c) of Article 31(3).
|
|
3. La communication à la personne concernée
d'une violation de ses données à caractère personnel n'est pas nécessaire si le
responsable du traitement prouve, à la satisfaction de l’autorité de contrôle,
qu'il a mis en œuvre les mesures de protection technologiques appropriées et
que ces dernières ont été appliquées aux données concernées par ladite
violation. De telles mesures de protection technologiques doivent rendre les
données incompréhensibles à toute personne qui n'est pas autorisée à y avoir
accès.
|
3. The communication of a
personal data breach to the data subject shall not be required if the
controller demonstrates to the satisfaction of the supervisory authority that
it has implemented appropriate technological
protection measures, and that those measures were applied to the data concerned
by the personal data breach. Such technological
protection measures shall render the data unintelligible to any person who is
not authorised to access it.
|
|
4. Sans préjudice de l’obligation du
responsable du traitement de communiquer à la personne concernée la violation
de ses données à caractère personnel, si le responsable du traitement n'a pas
déjà averti la personne concernée de la violation de ses données à caractère
personnel, l'autorité de contrôle peut, après avoir examiné les effets
potentiellement négatifs de cette violation, exiger du responsable du
traitement qu'il s'exécute.
|
4. Without prejudice to the
controller's obligation to communicate the personal data breach to the data
subject, if the controller has not already communicated the personal data
breach to the data subject of the personal data breach, the supervisory
authority, having considered the likely adverse effects of the breach, may
require it to do so.
|
|
5. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences concernant les circonstances, visées au paragraphe 1,
dans lesquelles une violation de données à caractère personnel est susceptible
de porter atteinte aux données à caractère personnel.
|
5. The Commission shall be empowered to adopt delegated acts in accordance
with Article 86 for the purpose of further specifying the criteria and
requirements as to the circumstances in which a personal data breach is
likely to adversely affect the personal data referred to in paragraph 1.
|
|
6. La Commission peut définir la forme de la
communication à la personne concernée prévue au paragraphe 1 et les
procédures applicables à cette communication. Les actes d'exécution
correspondants sont adoptés conformément à la procédure d'examen prévue à
l'article 87, paragraphe 2.
|
6. The Commission may lay
down the format of the communication to the data subject referred to in
paragraph 1 and the procedures applicable to that communication. Those
implementing acts shall be adopted in accordance with the examination procedure
referred to in Article 87(2).
|
|
SECTION 3
ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES ET AUTORISATION PRÉALABLE
|
SECTION 3
DATA PROTECTION IMPACT ASSESSMENT
AND PRIOR AUTHORISATION
|
|
Article 33
Analyse d’impact relative à la protection des données
|
Article 33
Data protection impact assessment
|
|
1. Lorsque les traitements présentent des
risques particuliers au regard des droits et libertés des personnes concernées
du fait de leur nature, de leur portée ou de leurs finalités, le responsable du
traitement ou le sous‑traitant agissant pour le compte du responsable du
traitement effectuent une analyse de l'impact des traitements envisagés sur la
protection des données à caractère personnel.
|
1. Where processing
operations present specific risks to the rights and freedoms of data subjects
by virtue of their nature, their scope or their purposes, the controller or the
processor acting on the controller's behalf shall carry out an assessment of
the impact of the envisaged processing operations on the protection of personal
data.
|
|
2. Les traitements présentant les risques
particuliers visés au paragraphe 1 sont notamment les suivants:
|
2. The following processing
operations in particular present specific risks referred to in paragraph 1:
|
|
a) l'évaluation systématique et à grande échelle des
aspects personnels propres à une personne physique ou visant à analyser ou à
prévoir, en particulier, la situation économique de ladite personne physique,
sa localisation, son état de santé, ses préférences personnelles, sa fiabilité
ou son comportement, qui est fondée sur un traitement automatisé et sur la base
de laquelle sont prises des mesures produisant des effets juridiques concernant
ou affectant de manière significative ladite personne;
|
(a) a systematic and extensive evaluation
of personal aspects relating to a natural person or for analysing or predicting
in particular the natural person's economic situation, location, health,
personal preferences, reliability or behaviour, which is based on automated
processing and on which measures are based that produce legal effects
concerning the individual or significantly affect the individual;
|
|
b) le traitement d'informations relatives à la vie
sexuelle, à la santé, à l'origine raciale et ethnique ou destinées à la
fourniture de soins de santé, à des recherches épidémiologiques ou à des études
relatives à des maladies mentales ou infectieuses, lorsque les données sont
traitées aux fins de l'adoption de mesures ou de décisions à grande échelle
visant des personnes précises;
|
(b) information on sex life, health, race
and ethnic origin or for the provision of health care, epidemiological
researches, or surveys of mental or infectious diseases, where the data are
processed for taking measures or decisions regarding specific individuals on a
large scale;
|
|
c) la surveillance de zones accessibles au public, en
particulier lorsque des dispositifs opto‑électroniques (vidéosurveillance) sont
utilisés à grande échelle;
|
(c) monitoring publicly accessible areas,
especially when using optic-electronic devices (video surveillance) on a large
scale;
|
|
d) le traitement de données à caractère personnel dans des
fichiers informatisés de grande ampleur concernant des enfants, ou le
traitement de données génétiques ou biométriques;
|
(d) personal data in large scale filing
systems on children, genetic data or biometric data;
|
|
e) les autres traitements pour lesquels la consultation de
l'autorité de contrôle est requise en application à l'article 34,
paragraphe 2, point b).
|
(e) other processing operations for which
the consultation of the supervisory authority is required pursuant to point (b)
of Article 34(2).
|
|
3. L'analyse contient au moins une description
générale des traitements envisagés, une évaluation des risques pour les droits
et libertés des personnes concernées, les mesures envisagées pour faire face
aux risques, les garanties, mesures de sécurité et mécanismes visant à assurer
la protection des données à caractère personnel et à apporter la preuve de la
conformité avec le présent règlement, en tenant compte des droits et intérêts
légitimes des personnes concernées par les données et des autres personnes
touchées.
|
3. The assessment shall
contain at least a general description of the envisaged processing operations,
an assessment of the risks to the rights and freedoms of data subjects, the
measures envisaged to address the risks, safeguards, security measures and
mechanisms to ensure the protection of personal data and to demonstrate
compliance with this Regulation, taking into account the rights and legitimate
interests of data subjects and other persons concerned.
|
|
4. Le responsable du traitement demande l'avis
des personnes concernées ou de leurs représentants au sujet du traitement
prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ni de
la sécurité des traitements.
|
4. The controller shall seek
the views of data subjects or their representatives on the intended processing,
without prejudice to the protection of commercial
or public interests or the security of the processing operations.
|
|
5. Lorsque le responsable du traitement est
une autorité ou un organisme publics, et lorsque le traitement est effectué en
exécution d'une obligation légale conforme à l'article 6,
paragraphe 1, point c), prévoyant des règles et des procédures
relatives aux traitements et réglementées par le droit de l'Union, les
paragraphes 1 à 4 ne s'appliquent pas, sauf si les États membres estiment
qu'une telle analyse est nécessaire avant le traitement.
|
5. Where the controller is a
public authority or body and where the processing results from a legal
obligation pursuant to point (c) of Article 6(1) providing for rules and
procedures pertaining to the processing operations and regulated by Union law,
paragraphs 1 to 4 shall not apply, unless Member States deem it necessary to
carry out such assessment prior to the processing activities.
|
|
6. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et conditions applicables aux traitements susceptibles
de présenter les risques particuliers visés aux paragraphes 1 et 2, ainsi que
les exigences applicables à l’analyse prévue au paragraphe 3, y compris les
conditions de modularité, de vérification et d'auditabilité. Ce faisant, la Commission
envisage des mesures spécifiques pour les micro, petites et moyennes
entreprises.
|
6. The Commission shall be empowered to adopt delegated acts in accordance
with Article 86 for the purpose of further specifying the criteria and conditions
for the processing operations likely to present specific risks referred
to in paragraphs 1 and 2 and the requirements for the assessment referred to in
paragraph 3, including conditions for scalability, verification and
auditability. In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises.
|
|
7. La Commission peut définir des normes et
procédures pour la réalisation, la vérification et l’audit de l'analyse visée
au paragraphe 3. Les actes d'exécution correspondants sont adoptés
conformément à la procédure d'examen prévue à l'article 87,
paragraphe 2.
|
7. The Commission may specify
standards and procedures for carrying out and verifying and auditing the assessment
referred to in paragraph 3. Those implementing acts shall be adopted in
accordance with the examination procedure referred to in Article 87(2).
|
|
Article 34
Autorisation et consultation préalables
|
Article 34
Prior authorisation and prior consultation
|
|
1. Le responsable du traitement ou le
sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de
contrôle avant le traitement de données à caractère personnel afin de garantir
la conformité du traitement prévu avec le présent règlement et, notamment,
d'atténuer les risques pour les personnes concernées lorsqu'un responsable du
traitement ou un sous‑traitant adoptent des clauses contractuelles telles que
celles prévues à l'article 42, paragraphe 2, point d), ou
n'offrent pas les garanties appropriées dans un instrument juridiquement
contraignant tel que visé à l'article 42, paragraphe 5, régissant le
transfert de données à caractère personnel vers un pays tiers ou à une
organisation internationale.
|
1. The controller or the processor
as the case may be shall obtain an authorisation from the supervisory authority
prior to the processing of personal data, in
order to ensure the compliance of the intended processing with this Regulation
and in particular to mitigate the risks involved for the data subjects where
a controller or processor adopts contractual clauses as provided for in point
(d) of Article 42(2) or does not provide for the appropriate safeguards in a
legally binding instrument as referred to in Article 42(5) for the transfer of
personal data to a third country or an international organisation.
|
|
2. Le responsable du traitement ou le
sous-traitant agissant au nom du responsable du traitement consultent
l'autorité de contrôle avant le traitement de données à caractère personnel
afin de garantir la conformité du traitement prévu avec le présent règlement
et, notamment, d'atténuer les risques pour les personnes concernées:
|
2. The controller or
processor acting on the controller's behalf shall consult the supervisory
authority prior to the processing of personal data in order to ensure the
compliance of the intended processing with this Regulation and in particular to
mitigate the risks involved for the data subjects where:
|
|
a) lorsqu'une analyse d’impact relative à la protection
des données telle que prévue à l’article 33 indique que les traitements sont,
du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de
présenter un degré élevé de risques particuliers; ou
|
(a) a data protection impact assessment as
provided for in Article 33 indicates that processing operations are by virtue
of their nature, their scope or their purposes, likely to present a high degree
of specific risks; or
|
|
b) lorsque l'autorité de contrôle estime nécessaire de
procéder à une consultation préalable au sujet de traitements susceptibles de
présenter des risques particuliers au regard des droits et libertés des
personnes concernées, du fait de leur nature, de leur portée et/ou de leurs
finalités, ces traitements étant précisés conformément au paragraphe 4.
|
(b) the supervisory authority deems it
necessary to carry out a prior consultation on processing operations that are
likely to present specific risks to the rights and freedoms of data subjects by
virtue of their nature, their scope and/or their purposes, and specified
according to paragraph 4.
|
|
3. Lorsque l'autorité de contrôle est d'avis
que le traitement prévu n'est pas conforme au présent règlement, en particulier
lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle
interdit le traitement prévu et formule des propositions appropriées afin de
remédier à cette non‑conformité.
|
3. Where the supervisory
authority is of the opinion that the intended processing does not comply with this
Regulation, in particular where risks are insufficiently identified or
mitigated, it shall prohibit the intended processing and make appropriate
proposals to remedy such incompliance.
|
|
4. L'autorité de contrôle établit et publie
une liste des traitements devant faire l’objet d’une consultation préalable au
titre du paragraphe 2, point b). L'autorité de contrôle communique cette
liste au comité européen de la protection des données.
|
4. The supervisory authority
shall establish and make public a list of the processing operations which are
subject to prior consultation pursuant to point (b) of paragraph 2. The
supervisory authority shall communicate those lists to the European Data
Protection Board.
|
|
5. Si la liste prévue au paragraphe 4
comprend des traitements liés à l'offre de biens ou de services à des personnes
concernées dans plusieurs États membres ou liés à l'observation de leur
comportement, ou susceptibles d'affecter sensiblement la libre circulation des
données à caractère personnel au sein de l’Union, l’autorité de contrôle
applique le mécanisme de contrôle de la cohérence prévu à l'article 57
avant d’adopter la liste.
|
5. Where the list provided
for in paragraph 4 involves processing activities which are related to the
offering of goods or services to data subjects in several Member States, or to the
monitoring of their behaviour, or may substantially affect the free movement of
personal data within the Union, the supervisory authority shall apply the
consistency mechanism referred to in Article 57 prior to the adoption of the list.
|
|
6. Le responsable du traitement ou le sous‑traitant
fournissent à l'autorité de contrôle l'analyse d'impact relative à la
protection des données prévue à l’article 33 et, sur demande, toute autre
information afin de permettre à l'autorité de contrôle d'apprécier la
conformité du traitement et, en particulier, les risques pour la protection des
données à caractère personnel de la personne concernée et les garanties qui s'y
rapportent.
|
6. The controller or
processor shall provide the supervisory authority with the data protection impact
assessment provided for in Article 33 and, on
request, with any other information to allow the supervisory authority to make an
assessment of the compliance of the processing and in particular of the risks
for the protection of personal data of the data subject and of the related
safeguards.
|
|
7. Les États membres consultent l'autorité de
contrôle dans le cadre de l'élaboration d'une mesure législative devant être
adoptée par le parlement national ou d'une mesure fondée sur une telle mesure
législative, qui définisse la nature du traitement, en vue d’assurer la
conformité du traitement prévu avec le présent règlement et, en particulier,
d'atténuer les risques pour les personnes concernées.
|
7. Member States shall consult
the supervisory authority in the preparation of a legislative measure to be adopted
by the national parliament or of a measure based on such a legislative measure,
which defines the nature of the processing, in order to ensure the compliance of the intended processing with this Regulation
and in particular to mitigate the risks involved for the data subjects.
|
|
8. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables à la détermination du niveau
élevé de risque particulier visé au paragraphe 2, point a).
|
8. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for determining the high
degree of specific risk referred to in point (a) of paragraph 2.
|
|
9. La Commission peut élaborer des formulaires
et procédures types pour les autorisations et consultations préalables visées
aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour
l'information des autorités de contrôle au titre du paragraphe 6. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l'article 87, paragraphe 2.
|
9. The Commission may set out
standard forms and procedures for prior authorisations and consultations referred
to in paragraphs 1 and 2, and standard forms and procedures for informing the
supervisory authorities pursuant to paragraph 6. Those implementing acts shall
be adopted in accordance with the examination procedure referred to in Article 87(2).
|
|
SECTION 4
DÉLÉGUÉ À LA PROTECTION DES DONNÉES
|
SECTION
4
DATA PROTECTION OFFICER
|
|
Article 35
Désignation du délégué à la protection des données
|
Article 35
Designation of the data protection officer
|
|
1. Le responsable du traitement et le
sous-traitant désignent systématiquement un délégué à la protection des données
lorsque:
|
1. The controller and the
processor shall designate a data protection officer in any case where:
|
|
a) le traitement est effectué par une autorité ou un
organisme publics; ou
|
(a) the processing is carried out by a
public authority or body; or
|
|
b) le traitement est effectué par une entreprise employant
250 personnes ou plus; ou
|
(b) the processing is carried out by an
enterprise employing 250 persons or more; or
|
|
c) les activités de base du responsable du traitement ou
du sous-traitant consistent en des traitements qui, du fait de leur nature, de
leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique
des personnes concernées.
|
(c) the core activities of the controller
or the processor consist of processing operations which, by virtue of their
nature, their scope and/or their purposes, require regular and systematic
monitoring of data subjects.
|
|
2. Dans le cas visé au paragraphe 1,
point b), un groupe d'entreprises peut désigner un délégué à la protection
des données unique.
|
2. In the case referred to in
point (b) of paragraph 1, a group of undertakings may appoint a single data
protection officer.
|
|
3. Lorsque le responsable du traitement ou le
sous‑traitant est une autorité ou un organisme publics, le délégué à la
protection des données peut être désigné pour plusieurs de ses entités, compte
tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.
|
3. Where the controller or
the processor is a public authority or body, the data protection officer may be
designated for several of its entities, taking account of the organisational
structure of the public authority or body.
|
|
4. Dans les cas autres que ceux visés au
paragraphe 1, le responsable du traitement ou le sous‑traitant ou les
associations et autres organismes représentant des catégories de responsables
du traitement ou de sous‑traitants peuvent désigner un délégué à la protection
des données.
|
4. In cases other than those
referred to in paragraph 1, the controller or processor or associations and
other bodies representing categories of controllers or processors may designate
a data protection officer.
|
|
5. Le responsable du traitement ou le sous‑traitant
désignent le délégué à la protection des données sur la base de ses qualités
professionnelles et, en particulier, de ses connaissances spécialisées de la
législation et des pratiques en matière de protection des données, et de sa
capacité à accomplir les tâches énumérées à l’article 37. Le niveau de
connaissances spécialisées requis est déterminé notamment en fonction du
traitement des données effectué et de la protection exigée pour les données à caractère
personnel traitées par le responsable du traitement ou le sous‑traitant.
|
5. The controller or
processor shall designate the data protection officer on the basis of
professional qualities and, in particular, expert knowledge of data protection
law and practices and ability to fulfil the tasks referred to in Article 37.
The necessary level of expert knowledge shall be determined in particular according
to the data processing carried out and the protection required for the personal
data processed by the controller or the processor.
|
|
6. Le responsable du traitement ou le sous‑traitant
veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à
la protection des données soient compatibles avec les tâches et fonctions de
cette personne en qualité de délégué à la protection des données et
n'entraînent pas de conflit d'intérêts.
|
6. The controller or the processor
shall ensure that any other professional duties of the data protection officer are
compatible with the person's tasks and duties as data protection officer and do
not result in a conflict of interests.
|
|
7. Le responsable du traitement ou le
sous-traitant désignent un délégué à la protection des données pour une durée
minimale de deux ans. Le mandat du délégué à la protection des données est
reconductible. Durant son mandat, le délégué à la protection des données ne
peut être démis de ses fonctions que s'il ne remplit plus les conditions
requises pour l'exercice de celles-ci.
|
7. The controller or the processor
shall designate a data protection officer for a period of at least two years.
The data protection officer may be reappointed for further terms. During their
term of office, the data protection officer may only be dismissed, if the data
protection officer no longer fulfils the conditions required for the
performance of their duties.
|
|
8. Le délégué à la protection des données peut
être un salarié du responsable du traitement ou du sous‑traitant, ou accomplir
ses tâches sur la base d'un contrat de service.
|
8. The data protection
officer may be employed by the controller or processor, or fulfil his or her
tasks on the basis of a service contract.
|
|
9. Le responsable du traitement ou le
sous-traitant communiquent le nom et les coordonnées du délégué à la protection
des données à l’autorité de contrôle et au public.
|
9. The controller or the processor
shall communicate the name and contact details of the data protection officer to
the supervisory authority and to the public.
|
|
10. Les personnes concernées ont le droit de
prendre contact avec le délégué à la protection des données au sujet de toutes
questions relatives au traitement de données les concernant et de demander à
exercer les droits que leur confère le présent règlement.
|
10. Data subjects shall have
the right to contact the data protection officer on all issues related to the
processing of the data subject’s data and to request exercising the rights
under this Regulation.
|
|
11. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux activités de base du
responsable du traitement ou du sous-traitant, visées au paragraphe 1,
point c), ainsi que les critères applicables aux qualités professionnelles du
délégué à la protection des données visées au paragraphe 5.
|
11. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for the core activities of
the controller or the processor referred to in point (c) of paragraph 1 and the
criteria for the professional qualities of the data protection officer referred
to in paragraph 5.
|
|
Article 36
Fonction du délégué à la protection des données
|
Article 36
Position of the data protection officer
|
|
1. Le responsable du traitement ou le
sous-traitant veillent à ce que le délégué à la protection des données soit
associé d'une manière appropriée et en temps utile à toutes les questions
relatives à la protection des données à caractère personnel.
|
1. The controller or the
processor shall ensure that the data protection officer is properly and in a
timely manner involved in all issues which relate to the protection of personal
data.
|
|
2. Le responsable du traitement ou le
sous-traitant veillent à ce que le délégué à la protection des données
accomplisse ses missions et obligations en toute indépendance et ne reçoive
aucune instruction en ce qui concerne l'exercice de sa fonction. Le délégué à
la protection des données fait directement rapport à la direction du
responsable du traitement ou du sous-traitant.
|
2. The controller or
processor shall ensure that the data protection officer performs the duties and
tasks independently and does not receive any instructions as regards the
exercise of the function. The data protection officer shall directly report to the
management of the controller or the processor.
|
|
3. Le responsable du traitement ou le
sous-traitant aident le délégué à la protection des données à exercer ses
missions et fournissent le personnel, les locaux, les équipements et toutes
autres ressources nécessaires à l'exécution des missions et obligations
énoncées à l’article 37.
|
3. The controller or the processor
shall support the data protection officer in performing the tasks and shall
provide staff, premises, equipment and any other resources necessary to carry
out the duties and tasks referred to in Article 37.
|
|
Article 37
Missions du délégué à la protection des données
|
Article 37
Tasks of the data protection officer
|
|
1. Le responsable du traitement ou le
sous-traitant confient au délégué à la protection des données au moins les
missions suivantes:
|
1. The controller or the processor
shall entrust the data protection officer at least with the following tasks:
|
|
a) informer et conseiller le responsable du traitement ou
le sous-traitant sur les obligations qui leur incombent en vertu du présent
règlement et conserver une trace documentaire de cette activité et des réponses
reçues;
|
(a) to inform and advise the controller or
the processor of their obligations pursuant to this Regulation and to document
this activity and the responses received;
|
|
b) contrôler la mise en œuvre et l'application des règles
internes du responsable du traitement ou du sous‑traitant en matière de
protection des données à caractère personnel, y compris la répartition des
responsabilités, la formation du personnel participant aux traitements, et les
audits s'y rapportant;
|
(b) to monitor the implementation and
application of the policies of the controller or processor in relation to the
protection of personal data, including the assignment of responsibilities, the training
of staff involved in the processing operations, and the related audits;
|
|
c) contrôler la mise en œuvre et l'application du présent
règlement, notamment en ce qui concerne les exigences relatives à la protection
des données dès la conception, à la protection des données par défaut et à la
sécurité des données, ainsi que l'information des personnes concernées et
l’examen des demandes présentées dans l'exercice de leurs droits au titre du
présent règlement;
|
(c) to monitor the implementation and
application of this Regulation, in particular as to the requirements related to
data protection by design, data protection by default and data security and to
the information of data subjects and their requests in exercising their rights
under this Regulation;
|
|
d) veiller à ce que la documentation visée à l’article 28
soit tenue à jour;
|
(d) to ensure that the documentation
referred to in Article 28 is maintained;
|
|
e) contrôler la documentation, la notification et la
communication, prévues aux articles 31 et 32, et relatives aux violations
de données à caractère personnel ;
|
(e) to monitor the documentation,
notification and communication of personal data breaches pursuant to Articles 31
and 32;
|
|
f) vérifier que le responsable du traitement ou le sous‑traitant
a réalisé l’analyse d’impact relative à la protection des données, et que les
demandes d'autorisation ou de consultation préalables ont été introduites, si
elles sont requises au titre des articles 33 et 34;
|
(f) to monitor the performance of the data
protection impact assessment by the controller or processor and the application
for prior authorisation or prior consultation, if required pursuant Articles 33
and 34;
|
|
g) vérifier qu'il a été répondu aux demandes de l’autorité
de contrôle et, dans le domaine de compétence du délégué à la protection des
données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à
l'initiative du délégué à la protection des données;
|
(g) to monitor the response to requests
from the supervisory authority, and, within the sphere of the data protection
officer's competence, co-operating with the supervisory authority at the
latter's request or on the data protection officer’s own initiative;
|
|
h) faire office de point de contact pour l'autorité de
contrôle sur les questions liées au traitement, et consulter celle-ci, le cas
échéant, de sa propre initiative.
|
(h) to act as the contact point for the
supervisory authority on issues related to the processing and consult with the
supervisory authority, if appropriate, on his/her own initiative.
|
|
2. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux missions, à la
certification, au statut, aux prérogatives et aux ressources du délégué à la
protection des données au sens du paragraphe 1.
|
2. The Commission shall be
empowered to adopt delegated acts in accordance with Article 86 for the purpose
of further specifying the criteria and requirements for tasks, certification,
status, powers and resources of the data protection officer referred to in
paragraph 1.
|
|
SECTION 5
CODES DE CONDUITE ET CERTIFICATION
|
SECTION
5
CODES
OF CONDUCT AND CERTIFICATION
|
|
Article 38
Codes de conduite
|
Article 38
Codes of conduct
|
|
1. Les États membres, les autorités de
contrôle et la Commission encouragent l'élaboration de codes de conduite
destinés à contribuer, en fonction de la spécificité des différents secteurs de
traitement de données, à la bonne application des dispositions du présent
règlement, en ce qui concerne notamment:
|
1. The Member States, the supervisory
authorities and the Commission shall encourage the drawing up of codes of
conduct intended to contribute to the proper application
of this Regulation, taking account of the specific features of the various data
processing sectors, in particular in relation to:
|
|
a) le traitement loyal et
transparent des données;
|
(a) fair and
transparent data processing;
|
|
b) la collecte des données;
|
(b) the
collection of data;
|
|
c) l'information du public et des
personnes concernées;
|
(c) the
information of the public and of data subjects;
|
|
d) les demandes formulées par les
personnes concernées dans l'exercice de leurs droits;
|
(d) requests of
data subjects in exercise of their rights;
|
|
e) l'information et la protection
des enfants;
|
(e) information
and protection of children;
|
|
f) le transfert de données vers
des pays tiers ou à des organisations internationales;
|
(f) transfer of
data to third countries or international organisations;
|
|
g) les mécanismes de suivi et visant
à assurer le respect des dispositions du code par les responsables du
traitement qui y adhèrent;
|
(g) mechanisms
for monitoring and ensuring compliance with the code by the controllers
adherent to it;
|
|
h) les procédures
extrajudiciaires et les autres procédures de règlement des conflits permettant
de résoudre les litiges entre les responsables du traitement et les personnes
concernées relatifs au traitement de données à caractère personnel, sans
préjudice des droits des personnes concernées au titre des articles 73 et
75.
|
(h) out-of-court
proceedings and other dispute resolution procedures for resolving disputes
between controllers and data subjects with respect to the processing of
personal data, without prejudice to the rights of the data subjects pursuant to
Articles 73 and 75.
|
|
2. Les associations et les autres
organisations représentant des catégories de responsables du traitement ou de
sous‑traitants dans un État membre qui ont l'intention d'élaborer des codes de
conduite ou de modifier des codes de conduite existants ou d'en proroger la
validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État
membre concerné. L’autorité de contrôle peut rendre un avis sur la conformité,
avec le présent règlement, du projet de code de conduite ou de la modification.
Elle recueille les observations des personnes concernées ou de leurs
représentants sur ces projets.
|
2. Associations and other
bodies representing categories of controllers or processors in one Member State
which intend to draw up codes of conduct or to amend or extend existing codes
of conduct may submit them to an opinion of the supervisory authority in that Member
State. The supervisory authority may give an opinion whether the draft code of
conduct or the amendment is in compliance with this Regulation. The supervisory
authority shall seek the views of data subjects or their representatives on
these drafts.
|
|
3. Les associations et les autres
organisations représentant des catégories de responsables du traitement dans
plusieurs États membres peuvent soumettre à la Commission des projets de codes
de conduite ainsi que des modifications ou prorogations de codes de conduite
existants.
|
3. Associations and other
bodies representing categories of controllers in several Member States may
submit draft codes of conduct and amendments or extensions to existing codes of
conduct to the Commission.
|
|
4. La Commission peut adopter des actes
d'exécution afin de constater par voie de décision que les codes de conduite
ainsi que les modifications ou prorogations de codes de conduite existants qui
lui ont été soumis en vertu du paragraphe 3 sont d’applicabilité générale
sur le territoire de l'Union. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l’article 87, paragraphe 2.
|
4. The
Commission may adopt implementing acts for deciding that the codes of conduct and amendments or extensions to existing codes
of conduct submitted to it pursuant to paragraph 3 have general validity within
the Union. Those implementing acts shall be adopted in accordance with the
examination procedure set out in Article 87(2).
|
|
5. La Commission assure une publicité
appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient
d’applicabilité générale conformément au paragraphe 4.
|
5. The Commission shall
ensure appropriate publicity for the codes which have been decided as having
general validity in accordance with paragraph 4.
|
|
Article 39
Certification
|
Article 39
Certification
|
|
1. Les États membres et la Commission
encouragent, en particulier au niveau européen, la mise en place de mécanismes de
certification en matière de protection des données ainsi que de marques et de
labels en matière de protection des données, qui permettent aux personnes
concernées d'évaluer rapidement le niveau de protection des données offert par
les responsables du traitement et les sous‑traitants. Les mécanismes de
certification en matière de protection des données contribuent à la bonne
application du présent règlement, compte tenu des spécificités des divers
secteurs et des différents traitements.
|
1. The
Member States and the Commission shall encourage, in particular at European
level, the establishment of data protection certification mechanisms and of data
protection seals and marks, allowing data subjects to quickly assess the level
of data protection provided by controllers and processors. The data protection certifications
mechanisms shall contribute to the proper application
of this Regulation, taking account of the specific features of the various
sectors and different processing operations.
|
|
2. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux mécanismes de certification
en matière de protection des données visés au paragraphe 1, y compris les
conditions d'octroi et de révocation, et les exigences en matière de
reconnaissance au sein de l’Union et dans les pays tiers.
|
2. The Commission shall be empowered to adopt delegated acts in accordance
with Article 86 for the purpose of further specifying the criteria and
requirements for the data protection certification
mechanisms referred to in paragraph 1, including conditions for granting and withdrawal,
and requirements for recognition within the Union and in third countries.
|
|
3. La Commission peut fixer des normes
techniques pour les mécanismes de certification, ainsi que des marques et
labels en matière de protection des données, afin de promouvoir et de
reconnaître les mécanismes de certification ainsi que les marques et labels en
matière de protection des données. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l’article 87, paragraphe 2.
|
3. The
Commission may lay down technical standards for certification mechanisms and data
protection seals and marks and mechanisms to promote and recognize
certification mechanisms and data protection seals and marks. Those implementing acts shall be adopted in
accordance with the examination procedure set out in Article 87(2).
|
|
CHAPITRE V
TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES
ORGANISATIONS INTERNATIONALES
|
CHAPTER V
TRANSFER OF PERSONAL DATA TO
THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
|
Article 40
Principe général des transferts
|
Article 40
General principle for transfers
|
|
Un transfert de données à caractère personnel qui font ou
sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une
organisation internationale ne peut avoir lieu que si, sous réserve des autres
dispositions du présent règlement, les conditions énoncées dans le présent
chapitre sont respectées par le responsable du traitement et le sous‑traitant,
y compris pour les transferts ultérieurs de données à caractère personnel vers
un autre pays tiers ou à une autre organisation internationale.
|
Any transfer of personal data which are
undergoing processing or are intended for processing after transfer to a third
country or to an international organisation may only take place if, subject to
the other provisions of this Regulation, the conditions laid down in this
Chapter are complied with by the controller and processor, including for onward
transfers of personal data from the third country or an international
organisation to another third country or to another international organisation.
|
|
Article 41
Transferts assortis d’une décision relative au caractère adéquat du niveau
de protection
|
Article 41
Transfers with an adequacy decision
|
|
1. Un transfert peut avoir lieu lorsque la
Commission a constaté par voie de décision que le pays tiers, un territoire ou
un secteur de traitement de données dans ce pays tiers, ou l'organisation
internationale en question assure un niveau de protection adéquat. Un tel
transfert ne nécessite pas d'autre autorisation.
|
1. A transfer may take place
where the Commission has decided that the third country, or a territory or a
processing sector within that third country, or the international organisation
in question ensures an adequate level of protection. Such transfer shall not
require any further authorisation.
|
|
2. Lorsqu'elle apprécie le caractère adéquat
du niveau de protection, la Commission prend en considération les éléments
suivants:
|
2. When assessing the
adequacy of the level of protection, the Commission shall give consideration to
the following elements:
|
|
a) la primauté du droit, la législation pertinente en
vigueur, tant générale que sectorielle, notamment en ce qui concerne la
sécurité publique, la défense, la sécurité nationale et le droit pénal, les
règles professionnelles et les mesures de sécurité qui sont respectées dans le
pays en question ou par l'organisation internationale en question, ainsi que
l'existence de droits effectifs et opposables, y compris un droit de recours
administratif et judiciaire effectif des personnes concernées, notamment celles
ayant leur résidence sur le territoire de l'Union et dont les données à
caractère personnel sont transférées;
|
(a) the rule of law, relevant legislation
in force, both general and sectoral, including concerning public security,
defence, national security and criminal law, the professional rules and
security measures which are complied with in that country or by that
international organisation, as well as effective and enforceable rights
including effective administrative and judicial redress for data subjects, in
particular for those data subjects residing in the Union whose personal data
are being transferred;
|
|
b) l’existence et le fonctionnement effectif d’une ou de
plusieurs autorités de contrôle indépendantes dans le pays tiers ou
l'organisation internationale en question, chargées d’assurer le respect des
règles en matière de protection des données, d’assister et de conseiller les
personnes concernées dans l'exercice de leurs droits et de coopérer avec les
autorités de contrôle de l'Union et des États membres, et
|
(b) the existence and effective
functioning of one or more independent supervisory authorities in the third
country or international organisation in question responsible for ensuring
compliance with the data protection rules, for assisting and advising the data
subjects in exercising their rights and for co-operation with the supervisory
authorities of the Union and of Member States; and
|
|
c) les engagements internationaux souscrits par le pays
tiers ou l'organisation internationale en question.
|
(c) the international commitments the
third country or international organisation in question has entered into.
|
|
3. La Commission peut constater par voie de
décision qu’un pays tiers, ou un territoire ou un secteur de traitement de
données dans le pays tiers en question, ou une organisation internationale,
assure un niveau de protection adéquat au sens du paragraphe 2. Les actes
d'exécution correspondants sont adoptés conformément à la procédure d'examen
prévue à l'article 87, paragraphe 2.
|
3. The Commission may decide that
a third country, or a territory or a processing sector within that third
country, or an international organisation ensures an adequate level of
protection within the meaning of paragraph 2. Those implementing acts shall be
adopted in accordance with the examination procedure referred to in Article 87(2).
|
|
4. L'acte d'exécution précise son champ
d'application géographique et sectoriel et, le cas échéant, cite le nom de
l'autorité de contrôle mentionnée au paragraphe 2, point b).
|
4. The implementing act shall
specify its geographical and sectoral application, and, where applicable,
identify the supervisory authority mentioned in point (b) of paragraph 2.
|
|
5. La Commission peut constater par voie de
décision qu'un pays tiers, ou un territoire ou un secteur de traitement de
données dans ce pays tiers, ou une organisation internationale n'assure pas un
niveau de protection adéquat au sens du paragraphe 2, notamment dans les
cas où la législation pertinente, tant générale que sectorielle, en vigueur
dans le pays tiers ou l'organisation internationale en question, ne garantit
pas des droits effectifs et opposables, y compris un droit de recours
administratif et judiciaire effectif des personnes concernées, notamment celles
ayant leur résidence sur le territoire de l'Union et dont les données à
caractère personnel sont transférées. Les actes d'exécution correspondants sont
adoptés conformément à la procédure d'examen prévue à l'article 87,
paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en
ce qui concerne leur droit à la protection de leurs données à caractère
personnel, conformément à la procédure prévue à l'article 87,
paragraphe 3.
|
5. The Commission may decide that
a third country, or a territory or a processing sector within that third
country, or an international organisation does not ensure an adequate level of
protection within the meaning of paragraph 2 of this Article, in particular in
cases where the relevant legislation, both general and sectoral, in force in
the third country or international organisation, does not guarantee effective
and enforceable rights including effective administrative and judicial redress
for data subjects, in particular for those data subjects residing in the Union whose
personal data are being transferred. Those implementing acts shall be adopted
in accordance with the examination procedure referred to in Article 87(2), or,
in cases of extreme urgency for individuals with respect to their right to personal
data protection, in accordance with the procedure referred to in Article 87(3).
|
|
6. Lorsque la Commission adopte une décision
en vertu du paragraphe 5, tout transfert de données à caractère personnel
vers le pays tiers, ou un territoire ou un secteur de traitement de données
dans ce pays tiers, ou à l'organisation internationale en question est
interdit, sans préjudice des articles 42 à 44. La Commission engage, au
moment opportun, des consultations avec le pays tiers ou l'organisation
internationale en vue de remédier à la situation résultant de la décision
adoptée en vertu du paragraphe 5.
|
6. Where the Commission
decides pursuant to paragraph 5, any transfer of personal data to the third
country, or a territory or a processing sector within that third country, or
the international organisation in question shall be prohibited, without
prejudice to Articles 42 to 44. At the appropriate time, the Commission shall
enter into consultations with the third country or international organisation with
a view to remedying the situation resulting from the Decision made pursuant to
paragraph 5 of this Article.
|
|
7. La Commission publie au Journal officiel
de l'Union européenne une liste des pays tiers, des territoires et secteurs
de traitement de données dans un pays tiers et des organisations
internationales pour lesquels elle a constaté par voie de décision qu'un niveau
de protection adéquat était ou n'était pas assuré.
|
7. The Commission shall publish
in the Official Journal of the European Union a list of those third
countries, territories and processing sectors within a third country and
international organisations where it has decided that an adequate level of
protection is or is not ensured.
|
|
8. Les décisions adoptées par la Commission en
vertu de l'article 25, paragraphe 6, ou de l'article 26,
paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à
leur modification, leur remplacement ou leur abrogation par la Commission.
|
8. Decisions adopted by the
Commission on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC
shall remain in force, until amended, replaced or repealed by the Commission.
|
|
Article 42
Transferts moyennant des garanties appropriées
|
Article 42
Transfers by way of appropriate safeguards
|
|
1. Lorsque la Commission n'a pas adopté de
décision en vertu l’article 41, le transfert de données à caractère
personnel vers un pays tiers ou à une organisation internationale n'est
possible que si le responsable du traitement ou le sous‑traitant a offert des
garanties appropriées en ce qui concerne la protection des données à caractère
personnel dans un instrument juridiquement contraignant.
|
1. Where the Commission has
taken no decision pursuant to Article 41, a controller or processor may transfer
personal data to a third country or an international organisation only if the
controller or processor has adduced appropriate safeguards with respect to the
protection of personal data in a legally binding instrument.
|
|
2. Les garanties appropriées visées au
paragraphe 1 sont notamment fournies par:
|
2. The appropriate safeguards
referred to in paragraph 1 shall be provided for, in particular, by:
|
|
a) des règles d'entreprise contraignantes conformes à
l'article 43; ou
|
(a) binding corporate rules in accordance
with Article 43; or
|
|
b) des clauses types de protection des données adoptées
par la Commission. Les actes d'exécution correspondants sont adoptés
conformément à la procédure d'examen prévue à l’article 87,
paragraphe 2; ou
|
(b) standard data protection clauses
adopted by the Commission. Those implementing acts shall be adopted in
accordance with the examination procedure referred to in Article 87(2); or
|
|
c) des clauses types de protection des données adoptées
par une autorité de contrôle conformément au mécanisme de contrôle de la
cohérence prévu à l’article 57, lorsque la Commission a constaté leur
applicabilité générale conformément à l'article 62, paragraphe 1,
point b); ou
|
(c) standard data protection clauses
adopted by a supervisory authority in accordance with the consistency mechanism
referred to in Article 57 when declared generally valid by the Commission
pursuant to point (b) of Article 62(1); or
|
|
d) des clauses contractuelles liant le responsable du
traitement ou le sous‑traitant et le destinataire des données, approuvées par
une autorité de contrôle conformément au paragraphe 4.
|
(d) contractual clauses between the
controller or processor and the recipient of the data authorised by a
supervisory authority in accordance with paragraph 4.
|
|
3. Un transfert effectué en vertu de clauses
types de protection des données ou de règles d'entreprise contraignantes telles
que celles visés au paragraphe 2, points a), b) ou c), ne nécessite
pas d'autre autorisation.
|
3. A transfer based on
standard data protection clauses or binding corporate rules as referred to in
points (a), (b) or (c) of paragraph 2 shall not require any further authorisation.
|
|
4. Lorsqu'un transfert est effectué en vertu
de clauses contractuelles telles que celles visées au paragraphe 2,
point d), le responsable du traitement ou le sous‑traitant doit avoir
obtenu l'autorisation préalable des clauses contractuelles par l’autorité de
contrôle conformément à l'article 34, paragraphe 1, point a). Si
le transfert est lié à un traitement qui porte sur des personnes concernées
dans un ou plusieurs autres États membres, ou affecte sensiblement la libre
circulation des données à caractère personnel dans l’Union, l’autorité de
contrôle applique le mécanisme de contrôle de la cohérence prévu à
l’article 57.
|
4. Where a transfer is based
on contractual clauses as referred to in point (d) of paragraph 2 of this
Article the controller or processor shall obtain prior authorisation of the contractual
clauses according to point (a) of Article 34(1) from the supervisory authority.
If the transfer is related to processing activities which concern data subjects
in another Member State or other Member States, or substantially affect the
free movement of personal data within the Union, the supervisory authority
shall apply the consistency mechanism referred to in Article 57.
|
|
5. Lorsque les garanties appropriées quant à
la protection de données à caractère personnel ne sont pas prévues dans un
instrument juridiquement contraignant, le responsable du traitement ou le sous‑traitant
doit obtenir l'autorisation préalable du transfert ou d'un ensemble de
transferts, ou de dispositions à insérer dans un régime administratif
constituant le fondement du transfert. Une autorisation de cette nature
accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1,
point a). Si le transfert est lié à un traitement qui porte sur des
personnes concernées dans un ou plusieurs autres États membres, ou affecte
sensiblement la libre circulation des données à caractère personnel dans
l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la
cohérence prévu à l’article 57. Les autorisations accordées par une
autorité de contrôle en vertu de l'article 26, paragraphe 2, de la
directive 95/46/CE demeurent valables jusqu'à leur modification, leur
remplacement ou leur abrogation par la même autorité de contrôle.
|
5. Where the appropriate
safeguards with respect to the protection of personal data are not provided for
in a legally binding instrument, the controller or processor shall obtain prior
authorisation for the transfer, or a set of transfers, or for provisions to be
inserted into administrative arrangements providing the basis for such transfer.
Such authorisation by the supervisory authority shall be in accordance with
point (a) of Article 34(1). If the transfer is related to processing activities
which concern data subjects in another Member State or other Member States, or
substantially affect the free movement of personal data within the Union, the
supervisory authority shall apply the consistency mechanism referred to in
Article 57. Authorisations by a supervisory authority on the basis of Article
26(2) of Directive 95/46/EC shall remain valid, until amended, replaced or
repealed by that supervisory authority.
|
|
Article 43
Transferts encadrés par des règles d'entreprise contraignantes
|
Article 43
Transfers by way of binding corporate rules
|
|
1. Une autorité de contrôle approuve des
règles d’entreprise contraignantes conformément au mécanisme de contrôle de la
cohérence prévu à l'article 58, à condition:
|
1. A supervisory authority
shall in accordance with the consistency mechanism set out in Article 58 approve
binding corporate rules, provided that they:
|
|
a) qu'elles soient juridiquement contraignantes, qu'elles
s'appliquent à toutes les entités du groupe d’entreprises du responsable du
traitement ou du sous‑traitant, y compris à leurs salariés, et que lesdites entités
en assurent le respect;
|
(a) are legally binding and apply to and
are enforced by every member within the controller’s or processor's group of
undertakings, and include their employees;
|
|
b) qu'elles confèrent expressément aux personnes
concernées des droits opposables;
|
(b) expressly confer enforceable rights on
data subjects;
|
|
c) qu'elles respectent les exigences prévues au
paragraphe 2.
|
(c) fulfil the requirements laid down in
paragraph 2.
|
|
2. Les règles d'entreprise contraignantes
précisent au moins:
|
2. The binding corporate
rules shall at least specify:
|
|
a) la structure et les coordonnées du groupe d'entreprises
et des entités qui le composent;
|
(a) the structure and contact details of
the group of undertakings and its members;
|
|
b) le transfert ou l'ensemble de transferts de données, y
compris les catégories de données à caractère personnel, le type de traitement
et ses finalités, la catégorie de personnes concernées et le nom du ou des pays
tiers en question;
|
(b) the data transfers or set of
transfers, including the categories of personal data, the type of processing and
its purposes, the type of data subjects affected and the identification of the
third country or countries in question;
|
|
c) leur nature juridiquement contraignante, tant interne
qu'externe;
|
(c) their legally binding nature, both
internally and externally;
|
|
d) les principes généraux de protection des données,
notamment la limitation de la finalité, la qualité des données, la base juridique
du traitement, le traitement de données à caractère personnel sensibles, les
mesures visant à garantir la sécurité des données, ainsi que les exigences en
matière de transferts ultérieurs à des organismes qui ne sont pas liés par les
mesures en question;
|
(d) the general data protection
principles, in particular purpose limitation, data quality, legal basis for the
processing, processing of sensitive personal data; measures to ensure data
security; and the requirements for onward transfers to organisations which are
not bound by the policies;
|
|
e) les droits des personnes concernées et les moyens de
les exercer, notamment le droit de ne pas être soumis à une mesure fondée sur
le profilage conformément à l'article 20, le droit de déposer une
réclamation auprès de l'autorité de contrôle compétente et devant les
juridictions compétentes des États membres conformément à l’article 75 et
d'obtenir réparation et, le cas échéant, une indemnisation pour violation des
règles d'entreprise contraignantes;
|
(e) the rights of data subjects and the
means to exercise these rights, including the right not to be subject to a
measure based on profiling in accordance with Article 20, the right to lodge a
complaint before the competent supervisory authority and before the competent
courts of the Member States in accordance with Article 75, and to obtain
redress and, where appropriate, compensation for a breach of the binding
corporate rules;
|
|
f) l'acceptation, par le responsable du traitement ou le
sous‑traitant établi sur le territoire d’un État membre, de l’engagement de sa
responsabilité pour toute violation des règles d'entreprise contraignantes par
toute entité appartenant au groupe d’entreprises non établie dans l'Union; le
responsable du traitement ou le sous-traitant ne peut être exonéré, en tout ou
en partie, de cette responsabilité que s'il prouve que le fait générateur du
dommage n'est pas imputable à l'entité en cause;
|
(f) the acceptance by the controller or
processor established on the territory of a Member State of liability for any
breaches of the binding corporate rules by any member of the group of
undertakings not established in the Union; the controller or the processor may
only be exempted from this liability, in whole or in part, if he proves that
that member is not responsible for the event giving rise to the damage;
|
|
g) la manière dont les informations sur les règles
d'entreprise contraignantes, notamment en ce qui concerne les éléments
mentionnés aux points d), e) et f), sont fournies aux personnes
concernées, conformément à l'article 11;
|
(g) how the information on the binding
corporate rules, in particular on the provisions referred to in points (d), (e)
and (f) of this paragraph is provided to the data subjects in accordance with
Article 11;
|
|
h) les missions du délégué à la protection des données,
désigné conformément à l’article 35, notamment la surveillance, au sein du
groupe d'entreprises, du respect des règles d'entreprise contraignantes, ainsi
que le suivi de la formation et du traitement des réclamations;
|
(h) the tasks of the data protection
officer designated in accordance with Article 35, including monitoring within
the group of undertakings the compliance with the binding corporate rules, as
well as monitoring the training and complaint handling;
|
|
i) les mécanismes mis en place au sein du groupe
d'entreprises pour garantir que le respect des règles d'entreprise
contraignantes est contrôlé;
|
(i) the mechanisms within the group of
undertakings aiming at ensuring the verification of compliance with the binding
corporate rules;
|
|
j) les mécanismes mis en place pour communiquer et
archiver les modifications apportées aux règles internes et pour communiquer
ces modifications à l’autorité de contrôle;
|
(j) the mechanisms for reporting and
recording changes to the policies and reporting these changes to the
supervisory authority;
|
|
k) le mécanisme de coopération avec l’autorité de contrôle
mis en place pour assurer le respect des règles par toutes les entités du
groupe d'entreprises, notamment en mettant à la disposition de l'autorité de
contrôle les résultats des contrôles des mesures prévues au point i).
|
(k) the co-operation mechanism with the
supervisory authority to ensure compliance by any member of the group of
undertakings, in particular by making available to the supervisory authority
the results of the verifications of the measures referred to in point (i) of
this paragraph.
|
|
3. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les critères et exigences applicables aux règles d'entreprise
contraignantes au sens du présent article, notamment en ce qui concerne les
critères applicables à leur approbation, l'application du paragraphe 2,
points b), d), e) et f), aux règles d'entreprise contraignantes auxquelles
adhèrent les sous‑traitants, et les exigences nécessaires supplémentaires pour
assurer la protection des données à caractère personnel des personnes
concernées en question.
|
3. The Commission shall be empowered to adopt delegated acts in accordance
with Article 86 for the purpose of further specifying the criteria and
requirements for binding corporate rules within the meaning of this
Article, in particular as regards the criteria for their approval, the
application of points (b), (d), (e) and (f) of paragraph 2 to binding corporate
rules adhered to by processors and on further necessary requirements to ensure
the protection of personal data of the data subjects concerned.
|
|
4. La Commission peut, pour les règles
d’entreprise contraignantes au sens du présent article, spécifier la forme de
l'échange d’informations par voie électronique entre les responsables du
traitement, les sous‑traitants et les autorités de contrôle, ainsi que les
procédures qui s'y rapportent. Les actes d'exécution correspondants sont
adoptés conformément à la procédure d'examen prévue à l’article 87,
paragraphe 2.
|
4. The Commission may specify
the format and procedures for the exchange of information by electronic means
between controllers, processors and supervisory authorities for binding
corporate rules within the meaning of this Article. Those implementing acts
shall be adopted in accordance with the examination procedure set out in Article
87(2).
|
|
Article 44
Dérogations
|
Article 44
Derogations
|
|
1. En l’absence d’une décision relative au
caractère adéquat du niveau de protection conformément à l’article 41 ou
de garanties appropriées conformément à l’article 42, un transfert ou un
ensemble de transferts de données à caractère personnel vers un pays tiers ou à
une organisation internationale ne peuvent être effectués qu'à condition que:
|
1. In the absence of an
adequacy decision pursuant to Article 41 or of appropriate safeguards pursuant
to Article 42, a transfer or a set of transfers of personal data to a third
country or an international organisation may take place only on condition that:
|
|
a) la personne concernée ait consenti au transfert
envisagé, après avoir été informée des risques du transfert en raison de
l’absence d’une décision relative au caractère adéquat du niveau de protection
et de garanties appropriées; ou
|
(a) the data subject has consented to the
proposed transfer, after having been informed of the risks of such transfers
due to the absence of an adequacy decision and appropriate safeguards; or
|
|
b) le transfert soit nécessaire à l'exécution d'un contrat
entre la personne concernée et le responsable du traitement ou à l'exécution de
mesures précontractuelles prises à la demande de la personne concernée; ou
|
(b) the transfer is necessary for the
performance of a contract between the data subject and the controller or the
implementation of pre-contractual measures taken at the data subject's request;
or
|
|
c) le transfert soit nécessaire à la conclusion ou à
l'exécution d'un contrat conclu, dans l'intérêt de la personne concernée, entre
le responsable du traitement et une autre personne physique ou morale; ou
|
(c) the transfer is necessary for the
conclusion or performance of a contract concluded in the interest of the data
subject between the controller and another natural or legal person; or
|
|
d) le transfert soit nécessaire pour des motifs importants
d'intérêt général; ou
|
(d) the transfer is necessary for important
grounds of public interest; or
|
|
e) le transfert soit nécessaire à la constatation, à
l'exercice ou à la défense d'un droit en justice; ou
|
(e) the transfer is necessary for the
establishment, exercise or defence of legal claims; or
|
|
f) le transfert soit nécessaire à la sauvegarde des
intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où
la personne concernée se trouve dans l'incapacité physique ou juridique de
donner son consentement; ou
|
(f) the transfer is necessary in order to
protect the vital interests of the data subject or of another person, where the data subject is physically or legally
incapable of giving consent; or
|
|
g) le transfert intervienne au départ d'un registre public
qui, en vertu de dispositions du droit de l'Union ou des États membres, est
destiné à l'information du public et est ouvert à la consultation du public ou
de toute personne justifiant d'un intérêt légitime, dans la mesure où les
conditions prévues dans le droit de l'Union ou des États membres pour la
consultation sont remplies dans le cas particulier; ou
|
(g) the transfer is made from a register
which according to Union or Member State law is intended to provide information
to the public and which is open to consultation either by the public in general
or by any person who can demonstrate legitimate interest, to the extent that
the conditions laid down in Union or Member State law for consultation are
fulfilled in the particular case; or
|
|
h) le transfert soit nécessaire aux fins des intérêts
légitimes poursuivis par le responsable du traitement ou le sous‑traitant,
qu'il ne puisse pas être qualifié de fréquent ou de massif et que le
responsable du traitement ou le sous‑traitant ait évalué toutes les
circonstances relatives à un transfert ou à une catégorie de transferts de
données et offert, sur la base de cette évaluation, des garanties appropriées
au regard de la protection des données à caractère personnel, s'il y a lieu.
|
(h) the transfer is necessary for the
purposes of the legitimate interests pursued by the controller or the processor,
which cannot be qualified as frequent or massive, and where the controller or
processor has assessed all the circumstances surrounding the data transfer
operation or the set of data transfer operations and based on this assessment
adduced appropriate safeguards with respect to the protection of personal data,
where necessary.
|
|
2. Un transfert effectué en vertu du
paragraphe 1, point g), ne porte pas sur la totalité des données à
caractère personnel ni sur des catégories entières de données à caractère
personnel contenues dans le registre. Lorsque le registre est destiné à être
consulté par des personnes qui ont un intérêt légitime, le transfert n'est
effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les
destinataires.
|
2. A transfer pursuant to
point (g) of paragraph 1 shall not involve the entirety of the personal data or
entire categories of the personal data contained in the register. When the
register is intended for consultation by persons having a legitimate interest,
the transfer shall be made only at the request of those persons or if they are
to be the recipients.
|
|
3. Lorsque le traitement s'effectue en vertu
du paragraphe 1, point h), le responsable du traitement ou le sous‑traitant
prend particulièrement en considération la nature des données, la finalité et
la durée du ou des traitements envisagés, ainsi que la situation dans le pays
d'origine, le pays tiers et le pays de destination finale, et offre des
garanties appropriées au regard de la protection des données à caractère
personnel, s'il y a lieu.
|
3. Where the processing is
based on point (h) of paragraph 1, the controller or processor shall give
particular consideration to the nature of the data, the purpose and duration of
the proposed processing operation or operations, as well as the situation in
the country of origin, the third country and the country of final destination,
and adduced appropriate safeguards with respect to the protection of personal
data, where necessary.
|
|
4. Les points b), c) et h) du
paragraphe 1 ne sont pas applicables aux activités des autorités publiques
dans l'exercice de leurs prérogatives de puissance publique.
|
4. Points (b), (c) and (h) of
paragraph 1 shall not apply to activities carried out by public authorities in
the exercise of their public powers.
|
|
5. L'intérêt général visé au
paragraphe 1, point d), doit être reconnu par le droit de l'Union ou
le droit de l'État membre dont relève le responsable du traitement.
|
5. The public interest
referred to in point (d) of paragraph 1 must be recognised in Union law or in
the law of the Member State to which the controller is subject.
|
|
6. Le responsable du traitement ou le sous‑traitant
atteste la matérialité, dans la documentation visée à l'article 28, de
l'évaluation et des garanties appropriées offertes visées au paragraphe 1,
point h), et informe l'autorité de contrôle du transfert.
|
6. The controller or
processor shall document the assessment as well as the appropriate safeguards
adduced referred to in point (h) of paragraph 1 of this Article in the
documentation referred to in Article 28 and shall inform the supervisory
authority of the transfer.
|
|
7. La Commission est habilitée à adopter des
actes délégués en conformité avec l’article 86, aux fins de préciser
davantage les «motifs importants d'intérêt général» au sens du
paragraphe 1, point d), ainsi que les critères et exigences
applicables aux garanties appropriées prévues au paragraphe 1,
point h).
|
7. The Commission shall be empowered to adopt delegated acts in accordance
with Article 86 for the purpose of further specifying 'important grounds of
public interest' within the meaning of point (d) of paragraph 1 as well as the
criteria and requirements for appropriate safeguards referred to in point
(h) of paragraph 1.
|
|
Article 45
Coopération internationale dans le domaine de la protection des données à
caractère personnel
|
Article 45
International co-operation for the protection of personal data
|
|
1. La Commission et les autorités de contrôle
prennent, à l'égard des pays tiers et des organisations internationales, les
mesures appropriées pour:
|
1. In relation to third
countries and international organisations, the Commission and supervisory
authorities shall take appropriate steps to:
|
|
a) élaborer des mécanismes de coopération internationaux
efficaces destinés à faciliter l’application de la législation relative à la
protection des données à caractère personnel;
|
(a) develop effective international
co-operation mechanisms to facilitate the enforcement of legislation for the
protection of personal data;
|
|
b) se prêter mutuellement assistance sur le plan international
dans la mise en application de la législation relative à la protection des
données à caractère personnel, notamment par la notification, la transmission
des réclamations, l’entraide pour les enquêtes et l’échange d’information, sous
réserve de garanties appropriées pour la protection des données à caractère
personnel et d'autres libertés et droits fondamentaux;
|
(b) provide international mutual
assistance in the enforcement of legislation for the protection of personal
data, including through notification, complaint referral, investigative
assistance and information exchange, subject to appropriate safeguards for the
protection of personal data and other fundamental rights and freedoms;
|
|
c) associer les parties prenantes intéressées aux
discussions et activités visant à développer la coopération internationale dans
l’application de la législation relative à la protection des données à
caractère personnel;
|
(c) engage relevant stakeholders in
discussion and activities aimed at furthering international co-operation in the
enforcement of legislation for the protection of personal data;
|
|
d) favoriser l'échange et la conservation de la
législation et des pratiques en matière de protection des données à caractère
personnel.
|
(d) promote the exchange and documentation
of personal data protection legislation and practice.
|
|
2. Aux fins de l'application du paragraphe 1,
la Commission prend les mesures appropriées pour intensifier les relations avec
les pays tiers ou les organisations internationales, et en particulier leurs
autorités de contrôle, lorsque la Commission a constaté par voie de décision
qu'ils assuraient un niveau de protection adéquat au sens de l'article 41,
paragraphe 3.
|
2. For the purposes of
paragraph 1, the Commission shall take appropriate steps to advance the
relationship with third countries or international organisations, and in
particular their supervisory authorities, where the Commission has decided that
they ensure an adequate level of protection within the meaning of Article 41(3).
|
|
CHAPITRE
VI
AUTORITÉS DE CONTRÔLE INDÉPENDANTES
|
CHAPTER VI
INDEPENDENT SUPERVISORY
AUTHORITIES
|
|
SECTION 1
STATUT D'INDÉPENDANCE
|
SECTION
1
INDEPENDENT STATUS
|
|
Article 46
Autorité de contrôle
|
Article 46
Supervisory authority
|
|
1. Chaque État membre prévoit qu'une ou
plusieurs autorités publiques sont chargées de surveiller l'application du
présent règlement et de contribuer à son application cohérente dans l’ensemble
de l'Union, afin de protéger les libertés et droits fondamentaux des personnes
physiques en ce qui concerne le traitement de leurs données à caractère
personnel et de faciliter la libre circulation de ces données au sein de
l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec
la Commission.
|
1. Each Member State shall
provide that one or more public authorities are responsible for monitoring the
application of this Regulation and for contributing to its consistent
application throughout the Union, in order to protect the fundamental rights
and freedoms of natural persons in relation to the processing of their personal
data and to facilitate the free flow of personal data within the Union. For these
purposes, the supervisory authorities shall co-operate with each other and the
Commission.
|
|
2. Lorsqu'un État membre institue plusieurs
autorités de contrôle, il désigne celle qui sert de point de contact unique
permettant une participation efficace de ces autorités au comité européen de la
protection des données, et définit le mécanisme permettant de s’assurer du
respect, par les autres autorités, des règles relatives au mécanisme de
contrôle de la cohérence prévu à l'article 57.
|
2. Where in a Member State more
than one supervisory authority are established, that Member State shall designate
the supervisory authority which functions as a single contact point for the effective
participation of those authorities in the European Data Protection Board and
shall set out the mechanism to ensure compliance by the other authorities with
the rules relating to the consistency mechanism referred to in Article 57.
|
|
3. Chaque État membre notifie à la Commission
les dispositions de la législation qu'il adopte en vertu du présent chapitre,
au plus tard à la date figurant à l'article 91, paragraphe 2, et,
sans délai, toute modification ultérieure les affectant.
|
3. Each Member State shall
notify to the Commission those provisions of its law which it adopts pursuant
to this Chapter, by the date specified in Article 91(2) at the latest and,
without delay, any subsequent amendment affecting them.
|
|
Article 47
Indépendance
|
Article 47
Independence
|
|
1. L'autorité de contrôle exerce en toute
indépendance les missions et les pouvoirs qui lui sont confiés.
|
1. The supervisory authority
shall act with complete independence in exercising the duties and powers entrusted
to it.
|
|
2. Dans l'accomplissement de leur mission, les
membres de l'autorité de contrôle ne sollicitent ni n'acceptent d'instructions
de quiconque.
|
2. The members of the supervisory
authority shall, in the performance of their duties, neither seek nor take
instructions from anybody.
|
|
3. Les membres de l’autorité de contrôle
s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la
durée de leur mandat, n'exercent aucune activité professionnelle incompatible,
rémunérée ou non.
|
3. Members of the supervisory
authority shall refrain from any action incompatible with their duties and
shall not, during their term of office, engage in any incompatible occupation,
whether gainful or not.
|
|
4. Après la cessation de leurs fonctions, les
membres de l'autorité de contrôle sont tenus de respecter les devoirs
d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou
de certains avantages.
|
4. Members of the supervisory
authority shall behave, after their term of office, with integrity and
discretion as regards the acceptance of appointments and benefits.
|
|
5. Chaque État membre veille à ce que
l’autorité de contrôle dispose des ressources humaines, techniques et
financières appropriées, ainsi que des locaux et de l'infrastructure,
nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux
qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la
coopération et de la participation au comité européen de la protection des
données.
|
5. Each Member State shall
ensure that the supervisory authority is provided with the adequate human,
technical and financial resources, premises and infrastructure necessary for
the effective performance of its duties and powers, including those to be
carried out in the context of mutual assistance, co-operation and participation
in the European Data Protection Board.
|
|
6. Chaque État membre veille à ce que
l'autorité de contrôle dispose de son propre personnel, qui est désigné par le
directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.
|
6. Each Member State shall
ensure that the supervisory authority has its own staff which shall be
appointed by and be subject to the direction of the head of the supervisory
authority.
|
|
7. Les États membres veillent à ce que
l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas
son indépendance. Les États membres veillent à ce que l’autorité de contrôle
dispose de budgets annuels propres. Les budgets sont rendus publics.
|
7. Member States shall ensure
that the supervisory authority is subject to financial control which shall not affect
its independence. Member States shall ensure that the supervisory authority has
separate annual budgets. The budgets shall be made public.
|
|
Article 48
Conditions générales applicables aux membres de l'autorité de contrôle
|
Article 48
General conditions for the members of the supervisory authority
|
|
1. Chaque État membre prévoit que les membres
de l’autorité de contrôle doivent être nommés soit par son parlement, soit par
son gouvernement.
|
1. Member States shall
provide that the members of the supervisory authority must be appointed either
by the parliament or the government of the Member State concerned.
|
|
2. Les membres sont choisis parmi les
personnes offrant toutes garanties d'indépendance et qui possèdent une
expérience et une compétence notoires pour l'accomplissement de leurs
fonctions, notamment dans le domaine de la protection des données à caractère
personnel.
|
2. The members shall be
chosen from persons whose independence is beyond doubt and whose experience and
skills required to perform their duties notably in the area of protection of
personal data are demonstrated.
|
|
3. Les fonctions des membres prennent fin à
l'échéance de leur mandat, en cas de démission ou de mise à la retraite
d'office conformément au paragraphe 5.
|
3. The duties of a member
shall end in the event of the expiry of the term of office, resignation or
compulsory retirement in accordance with paragraph 5.
|
|
4. Un membre peut être déclaré démissionnaire
ou déchu du droit à pension ou d'autres avantages en tenant lieu par la
juridiction nationale compétente, s'il ne remplit plus les conditions
nécessaires à l'exercice de ses fonctions ou s'il a commis une faute grave.
|
4. A member may be dismissed
or deprived of the right to a pension or other benefits in its stead by the
competent national court, if the member no longer fulfils the conditions
required for the performance of the duties or is guilty of serious misconduct.
|
|
5. Un membre dont le mandat expire ou qui
démissionne continue d'exercer ses fonctions jusqu'à la nomination d'un nouveau
membre.
|
5. Where the term of office
expires or the member resigns, the member shall continue to exercise the duties
until a new member is appointed.
|
|
Article 49
Règles relatives à l'établissement de l'autorité de contrôle
|
Article 49
Rules on the establishment of the supervisory authority
|
|
Chaque État membre prévoit par voie législative, dans
les limites du présent règlement:
|
Each Member
State shall provide by law within the limits of this Regulation:
|
|
a) l'établissement et le statut d’indépendance de
l’autorité de contrôle;
|
(a) the establishment and status of the
supervisory authority;
|
|
b) les qualifications, l'expérience et les compétences
requises pour exercer les fonctions de membre de l'autorité de contrôle;
|
(b) the qualifications, experience and
skills required to perform the duties of the members of the supervisory
authority;
|
|
c) les règles et les procédures pour la nomination des
membres de l'autorité de contrôle, ainsi que les règles relatives aux activités
ou emplois incompatibles avec leurs fonctions;
|
(c) the rules and procedures for the
appointment of the members of the supervisory authority, as well the rules on
actions or occupations incompatible with the duties of the office;
|
|
d) la durée du mandat des membres de l’autorité de
contrôle, qui ne doit pas être inférieure à quatre ans, sauf pour le premier
mandat après l'entrée en vigueur du présent règlement, qui peut être d’une
durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de
l'autorité de contrôle au moyen d'une procédure de nominations échelonnées;
|
(d) the duration of the term of the
members of the supervisory authority which shall be no less than four years,
except for the first appointment after entry into force of this Regulation,
part of which may take place for a shorter period where this is necessary to
protect the independence of the supervisory authority by means of a staggered
appointment procedure;
|
|
e) le caractère renouvelable ou non renouvelable du mandat
des membres de l'autorité de contrôle;
|
(e) whether the members of the supervisory
authority shall be eligible for reappointment;
|
|
f) le statut et les conditions communes régissant les
fonctions des membres et agents de l’autorité de contrôle;
|
(f) the regulations and common conditions
governing the duties of the members and staff of the supervisory authority;
|
|
g) les règles et les procédures relatives à la cessation
des fonctions des membres de l’autorité de contrôle, y compris lorsqu’ils ne
remplissent plus les conditions nécessaires à l'exercice de leurs fonctions ou
s'ils ont commis une faute grave.
|
(g) the rules and procedures on the
termination of the duties of the members of the supervisory authority,
including in case that they no longer fulfil the conditions required for the
performance of their duties or if they are guilty of serious misconduct.
|
|
Article 50
Secret professionnel
|
Article 50
Professional secrecy
|
|
Les membres et agents de l'autorité de contrôle sont soumis,
y compris après la cessation de leurs activités, à l'obligation de secret
professionnel à l'égard de toute information confidentielle dont ils ont eu
connaissance dans l'exercice de leurs fonctions officielles.
|
The members and the staff of the
supervisory authority shall be subject, both during and after their term of
office, to a duty of professional secrecy with regard to any confidential
information which has come to their knowledge in the course of the performance
of their official duties.
|
|
SECTION 2
FONCTIONS ET POUVOIRS
|
SECTION
2
DUTIES AND POWERS
|
|
Article 51
Compétence
|
Article 51
Competence
|
|
1. Chaque autorité de contrôle exerce, sur le
territoire de l'État membre dont elle relève, les pouvoirs dont elle est
investie conformément au présent règlement.
|
1. Each supervisory authority
shall exercise, on the territory of its own Member State, the powers conferred
on it in accordance with this Regulation.
|
|
2. Lorsque le traitement des données à
caractère personnel a lieu dans le cadre des activités d'un responsable du
traitement ou d'un sous‑traitant établis dans l’Union, et lorsque le
responsable du traitement ou le sous‑traitant sont établis dans plusieurs États
membres, l'autorité de contrôle de l'État membre où se situe l'établissement
principal du responsable du traitement ou du sous-traitant est compétente pour
contrôler les activités de traitement du responsable du traitement ou du sous‑traitant
dans tous les États membres, sans préjudice des dispositions du
chapitre VII du présent règlement.
|
2. Where the processing of
personal data takes place in the context of the activities of an establishment
of a controller or a processor in the Union, and the controller or processor is
established in more than one Member State, the supervisory authority of the
main establishment of the controller or processor shall be competent for the
supervision of the processing activities of the controller or the processor in
all Member States, without prejudice to the provisions of Chapter VII of this
Regulation.
|
|
3. L’autorité de contrôle n'est pas compétente
pour contrôler les traitements effectués par les juridictions dans l'exercice
de leur fonction juridictionnelle.
|
3. The supervisory authority
shall not be competent to supervise processing operations of courts acting in
their judicial capacity.
|
|
Article 52
Fonctions
|
Article 52
Duties
|
|
1. L'autorité de contrôle:
|
1. The supervisory authority
shall:
|
|
a) contrôle et assure l’application du présent règlement;
|
(a) monitor and ensure the application of
this Regulation;
|
|
b) reçoit les réclamations introduites par toute personne
concernée ou par une association la représentant conformément à
l'article 73, examine l'affaire pour autant que de besoin et informe la
personne concernée ou l'association de l'état d'avancement de l'affaire et de
l'issue de la réclamation dans un délai raisonnable, notamment si un complément
d'enquête ou une coordination avec une autre autorité de contrôle est
nécessaire;
|
(b) hear complaints lodged by any data
subject, or by an association representing that data subject in accordance with
Article 73, investigate, to the extent appropriate, the matter and inform the
data subject or the association of the progress and the outcome of the complaint
within a reasonable period, in particular if further investigation or
coordination with another supervisory authority is necessary;
|
|
c) partage des informations avec d'autres autorités de
contrôle, leur fournit une assistance mutuelle et veille à la cohérence de
l’application du présent règlement et des mesures prises pour en assurer le
respect;
|
(c) share information with and provide
mutual assistance to other supervisory authorities and ensure the consistency
of application and enforcement of this Regulation;
|
|
d) effectue des enquêtes, soit de sa propre initiative,
soit à la suite d'une réclamation ou à la demande d'une autre autorité de
contrôle, et informe la personne concernée, si elle l'a saisie d'une
réclamation, du résultat de ses enquêtes dans un délai raisonnable;
|
(d) conduct investigations either on its
own initiative or on the basis of a complaint or on request of another
supervisory authority, and inform the data subject concerned, if the data
subject has addressed a complaint to this supervisory authority, of the outcome
of the investigations within a reasonable period;
|
|
e) surveille les faits nouveaux présentant un intérêt,
dans la mesure où ils ont une incidence sur la protection des données à
caractère personnel, notamment l'évolution des technologies de l'information et
des communications et celle des pratiques commerciales;
|
(e) monitor relevant developments, insofar
as they have an impact on the protection of personal data, in particular the
development of information and communication technologies and commercial
practices;
|
|
f) est consultée par les institutions et organes de
l’État membre sur les mesures législatives et administratives relatives à la
protection des droits et libertés des personnes physiques à l'égard du
traitement des données à caractère personnel;
|
(f) be consulted by Member State
institutions and bodies on legislative and administrative measures relating to
the protection of individuals' rights and freedoms with regard to the
processing of personal data;
|
|
g) autorise les traitements prévus à l’article 34 et
est consultée à leur sujet;
|
(g) authorise and be consulted on the processing
operations referred to in Article 34;
|
|
h) émet un avis sur les projets de codes de conduite
prévus à l'article 38, paragraphe 2;
|
(h) issue an opinion on the draft codes of
conduct pursuant to Article 38(2);
|
|
i) approuve les règles d'entreprise contraignantes
conformément à l'article 43;
|
(i) approve binding corporate rules
pursuant to Article 43;
|