|
16.1.2008 |
FR |
Journal officiel de l'Union européenne |
L 13/18 |
DÉCISION DE LA COMMISSION
du 12 décembre 2007
relative à la protection des données à caractère personnel dans le cadre de la mise en œuvre du Système d’information du marché intérieur (IMI)
[notifiée sous le numéro C(2007) 6306]
(Texte présentant de l'intérêt pour l'EEE)
(2008/49/CE)
LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,
vu le traité instituant la Communauté européenne,
vu la décision 2004/387/CE du Parlement européen et du Conseil du 21 avril 2004 relative à la fourniture interopérable de services paneuropéens d’administration en ligne aux administrations publiques, aux entreprises et aux citoyens (IDABC) (1), et notamment son article 4,
considérant ce qui suit:
|
(1) |
Le 17 mars 2006, les représentants des États membres au sein du comité consultatif pour la coordination dans le domaine du marché intérieur (2) ont approuvé le plan global de mise en œuvre du Système d’information du marché intérieur (ci-après dénommé «IMI») et son développement en vue d’améliorer la communication entre les administrations des États membres. |
|
(2) |
Dans sa décision COM(2006) 3606 du 14 août 2006 sur la troisième révision du programme de travail IDABC 2005-2009, la Commission a décidé de financer et d’établir l'IMI en tant que projet d’intérêt commun. |
|
(3) |
La décision COM(2007) 3514 de la Commission du 25 juillet 2007 relative à la quatrième révision du programme de travail IDABC a accordé une aide financière supplémentaire à ce projet. |
|
(4) |
L’IMI vise à faciliter l’application d’actes législatifs relatifs au marché intérieur qui rendent nécessaire l’échange d’informations entre les administrations des États membres, notamment la directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (3) et la directive 2005/36/CE du Parlement européen et du Conseil du 7 septembre 2005 relative à la reconnaissance des qualifications professionnelles (4). |
|
(5) |
La protection des données à caractère personnel devant être garantie dans le cadre de l’IMI, il y a lieu de compléter, à cet effet, la décision établissant l’IMI. Étant donné que les différentes tâches et fonctions de la Commission et des États membres dans le cadre de l’IMI impliquent différentes responsabilités et obligations en matière d’application des règles de protection des données, il est nécessaire de définir leurs fonctions, responsabilités et droits d’accès respectifs. |
|
(6) |
Dans son avis relatif à la protection des données dans le cadre de l'IMI (5), le groupe «article 29» de protection des personnes à l’égard du traitement des données à caractère personnel plaide expressément pour l’adoption d’une décision de la Commission fixant les droits et obligations des participants IMI. |
|
(7) |
L’échange électronique d’informations entre les États membres doit respecter les règles de protection des données à caractère personnel prévues par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (6) et le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (7). |
|
(8) |
Afin d’assurer le suivi des consultations entre les autorités compétentes et aux fins des situations dans lesquelles une personne concernée souhaite faire appel d’une décision administrative négative prise sur la base d’un échange d’informations, il convient de conserver, pendant six mois à compter de la clôture définitive de l’échange d’informations, toutes les données à caractère personnel échangées entre des autorités compétentes et traitées dans l’IMI. Toutes les données à caractère personnel doivent être supprimées au bout de ces six mois. Une durée de conservation de six mois est jugée appropriée parce qu’elle correspond à la durée des procédures administratives prévues par la législation communautaire en ce qui concerne les échanges d’informations, |
A ARRÊTÉ LA PRÉSENTE DÉCISION:
CHAPITRE 1
DISPOSITIONS GÉNÉRALES
Article premier
Objet
La présente décision fixe les fonctions, droits et obligations des participants IMI et des utilisateurs IMI visés à l’article 6 en ce qui concerne les exigences de protection des données à respecter dans le cadre de l’exploitation du Système d’information du marché intérieur (ci-après dénommé «IMI»).
Article 2
Qualité des données
Les autorités compétentes des États membres échangent et traitent les données à caractère personnel aux seules fins prévues par les textes communautaires applicables figurant en annexe, qui servent de base aux échanges d’informations (ci-après dénommés «textes communautaires applicables»).
Les demandes d’information adressées par les autorités compétentes d’un État membre à celles d’un autre État membre et les réponses correspondantes se fondent sur les questions multilingues et les champs de données définis, aux fins de l’IMI, et établis par la Commission en collaboration avec les États membres.
Article 3
Responsables du traitement
Les responsabilités en matière de traitement des données prévues par l’article 2, point d), de la directive 95/46/CE et l’article 2, point d), du règlement (CE) no 45/2001 sont exercées conjointement par les participants IMI visés à l’article 6, conformément à leurs responsabilités respectives au sein de l’IMI.
Les responsables du traitement veillent à ce que la personne concernée puisse effectivement exercer ses droits d’information, d’accès, de rectification et d’opposition conformément à la législation applicable en matière de protection des données. Les participants IMI fournissent des déclarations de confidentialité sous une forme appropriée.
Article 4
Conservation des données à caractère personnel des personnes faisant l’objet de l’échange d’informations
Toutes les données à caractère personnel des personnes faisant l’objet de l’échange d’informations entre les autorités compétentes, traitées dans l’IMI, sont supprimées six mois après la clôture définitive de l’échange d’informations, ou plus tôt si une autorité compétente en fait expressément la demande à la Commission.
Lorsqu’elle est saisie d’une telle demande, la Commission y répond dans un délai de dix jours ouvrables, sous réserve de l’accord de l’autre autorité compétente concernée.
Article 5
Conservation des données à caractère personnel des utilisateurs IMI
Les données à caractère personnel des utilisateurs IMI, visés à l’article 6, sont conservées dans l’IMI aussi longtemps que ceux-ci demeurent des utilisateurs de l’IMI et sont supprimées par l’autorité compétente lorsqu’ils cessent de l’être.
Les données à caractère personnel visées au paragraphe 1 comprennent le nom des utilisateurs IMI ainsi que leur adresse de messagerie électronique professionnelle et leurs numéros de téléphone et de télécopieur professionnels.
CHAPITRE 2
FONCTIONS ET RESPONSABILITÉS RELATIVES À L’IMI
Article 6
Participants et utilisateurs IMI
1. Par «participants IMI», on entend:
|
a) |
les autorités compétentes des États membres conformément à l’article 7; |
|
b) |
les coordonnateurs conformément à l’article 8; |
|
c) |
la Commission. |
2. Seules les personnes physiques travaillant sous le contrôle d’une autorité compétente ou d’un coordonnateur, ci-après dénommées «utilisateurs IMI», peuvent utiliser l’IMI conformément à l’article 9.
Article 7
Autorités compétentes
Aux fins prévues par le texte communautaire applicable qui sert de base à l’échange d’informations, les autorités compétentes garantissent l’échange des informations concernées dans le cadre de l’IMI.
Article 8
Coordonnateurs IMI
1. Chaque État membre désigne un coordonnateur national IMI pour garantir la mise en œuvre de l’IMI au niveau national.
En outre, chaque État membre peut désigner un ou plusieurs coordonnateurs délégués IMI en fonction de sa structure administrative interne, afin d’exercer les responsabilités de coordination dans un domaine législatif, un département de l’administration ou une région géographique spécifique.
2. La Commission enregistre les coordonnateurs nationaux IMI dans l’IMI et leur donne accès à l’IMI.
3. Lorsqu’un État membre désigne un coordonnateur délégué IMI conformément au paragraphe 1, le coordonnateur national IMI enregistre le coordonnateur délégué IMI dans l’IMI et lui donne accès à l’IMI.
4. Les coordonnateurs enregistrent ou authentifient l’enregistrement des autorités compétentes demandant l’accès à l’IMI et veillent au bon fonctionnement du système. Ils donnent aux autorités compétentes accès aux domaines législatifs qui relèvent de leurs compétences.
5. Tous les coordonnateurs peuvent agir en qualité d’autorités compétentes. Dans ce cas, un coordonnateur jouit des mêmes droits d’accès qu’une autorité compétente.
Article 9
Rôle des utilisateurs IMI
1. Les utilisateurs IMI peuvent remplir une ou plusieurs des fonctions suivantes: gestionnaire des demandes, assignateur, arbitre et administrateur local de données.
2. Chaque utilisateur IMI se voit attribuer un ensemble défini de droits d’accès liés à son rôle d’utilisateur, conformément à l’article 12.
3. Tous les utilisateurs IMI peuvent rechercher une autorité compétente spécifique.
4. Les utilisateurs IMI désignés comme gestionnaires des demandes peuvent participer aux échanges d’informations pour le compte de leur autorité compétente.
5. Les utilisateurs IMI désignés comme assignateurs dans une autorité compétente peuvent attribuer une demande d’informations à un ou plusieurs gestionnaires des demandes au sein de cette autorité.
Les utilisateurs IMI désignés comme assignateurs dans un coordonnateur peuvent attribuer une demande d’informations à un ou plusieurs arbitres au sein de cette autorité.
6. Les utilisateurs IMI d’un coordonnateur peuvent être désignés comme arbitres.
Les arbitres peuvent approuver l’envoi de demandes ou de réponses par une autorité compétente, lorsque cette procédure d’approbation est rendue obligatoire par le coordonnateur, et peuvent marquer leur accord ou désaccord lorsqu’une autorité compétente requérante n’est pas satisfaite de la réponse reçue.
7. Les utilisateurs IMI désignés comme administrateurs locaux de données peuvent réaliser les tâches suivantes:
|
a) |
mise à jour des données à caractère personnel des utilisateurs IMI au sein de leur propre autorité; |
|
b) |
enregistrement des nouveaux utilisateurs au sein de leur propre autorité; |
|
c) |
modification du profil des utilisateurs au sein de leur propre autorité. |
Article 10
Commission
1. La Commission garantit la disponibilité et l’entretien des infrastructures IT nécessaires au fonctionnement de l’IMI. Elle fournit un système multilingue, qui fonctionne dans toutes les langues officielles, ainsi qu’un service d’assistance central pour aider les États membres dans l’utilisation de l’IMI.
2. La Commission rendra publiques les séries de questions et les champs de données visés à l’article 2, paragraphe 2.
3. La Commission ne peut participer aux échanges d’informations que dans les cas spécifiques où le texte communautaire applicable prévoit un échange d’informations entre les États membres et la Commission.
4. Dans les cas visés au paragraphe 3, la Commission jouit des mêmes droits d’accès qu’une autorité compétente conformément à l’article 12.
CHAPITRE 3
DROITS D’ACCÈS AUX DONNÉÉS À CARACTÈRE PERSONNEL
Article 11
Personne concernée
Aux fins du présent chapitre, on entend par «personne concernée» uniquement la personne faisant l’objet d’un échange d’informations spécifique. Les utilisateurs IMI n’entrent pas dans cette définition.
Article 12
Droits d’accès des utilisateurs IMI
1. Dans le cadre d’un échange d’informations, les gestionnaires des demandes d’une autorité compétente n’ont accès qu’aux données à caractère personnel concernant:
|
a) |
les autres gestionnaires des demandes de la même autorité compétente impliqués dans l’échange d’informations concerné; |
|
b) |
le gestionnaire des demandes de l’autre autorité compétente impliqué dans l’échange d’informations concerné; |
|
c) |
les arbitres des coordonnateurs chargés de l’échange d’informations concerné; |
|
d) |
les personnes concernées par l’échange d’informations concerné. Les gestionnaires des demandes d’une autorité compétente interrogée n’ont accès aux données à caractère personnel des personnes concernées qu’une fois la demande acceptée par leur autorité compétente. |
2. Les assignateurs d’une autorité compétente n’ont accès qu’aux données à caractère personnel concernant:
|
a) |
tous les gestionnaires des demandes de la même autorité compétente; |
|
b) |
le gestionnaire des demandes de l’autre autorité compétente impliqué dans l’échange d’informations concerné; |
|
c) |
les arbitres des coordonnateurs chargés de l’échange d’informations concerné. |
Ils n’ont pas accès aux données à caractère personnel des personnes concernées.
3. Les assignateurs d’un coordonnateur n’ont accès qu’aux données à caractère personnel concernant:
|
a) |
tous les arbitres du même coordonnateur; |
|
b) |
les gestionnaires des demandes des autorités compétentes impliqués dans l’échange d’informations concerné; |
|
c) |
l’arbitre de l’autre coordonnateur chargé de l’échange d’informations concerné. |
Ils n’ont pas accès aux données à caractère personnel des personnes concernées.
4. Les arbitres n’ont accès qu’aux données à caractère personnel concernant:
|
a) |
les arbitres des coordonnateurs impliqués dans l’échange d’informations concerné; |
|
b) |
les gestionnaires des demandes des autorités compétentes impliqués dans l’échange d’informations concerné. |
Ils n’ont pas accès aux données à caractère personnel des personnes concernées.
5. Les administrateurs locaux de données d’une autorité compétente n’ont accès qu’aux données à caractère personnel de tous les utilisateurs IMI de la même autorité compétente.
Ils n’ont pas accès aux données à caractère personnel des personnes concernées.
6. Les administrateurs locaux de données d’un coordonnateur n’ont accès qu’aux données à caractère personnel concernant:
|
a) |
tous les utilisateurs IMI du même coordonnateur; |
|
b) |
tous les administrateurs locaux de données des autorités compétentes et des coordonnateurs dont ils sont le coordonnateur. |
Ils n’ont pas accès aux données à caractère personnel des personnes concernées.
7. Les administrateurs locaux de données de la Commission n’ont accès qu’aux données à caractère personnel concernant:
|
a) |
tous les autres administrateurs locaux de données de la Commission; |
|
b) |
tous les administrateurs locaux de données des coordonnateurs nationaux IMI. |
Les administrateurs locaux de données de la Commission peuvent supprimer les données à caractère personnel des personnes concernées conformément à l’article 4, mais ne peuvent pas les consulter.
CHAPITRE 4
DISPOSITION FINALE
Article 13
Destinataires
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 12 décembre 2007.
Par la Commission
Charlie McCREEVY
Membre de la Commission
(1) JO L 144 du 30.4.2004, p. 65; rectifiée par le JO L 181 du 18.5.2004, p. 25.
(2) Établi par la décision 93/72/CEE de la Commission (JO L 26 du 3.2.1993, p. 18).
(3) JO L 376 du 27.12.2006, p. 36.
(4) JO L 255 du 30.9.2005, p. 22. Directive modifiée en dernier lieu par le règlement (CE) no 1430/2007 de la Commission (JO L 320 du 6.12.2007, p. 3).
(5) Avis 01911/07/EN, DT 140.
(6) JO L 281 du 23.11.1995, p. 31. Directive modifiée par le règlement (CE) no 1882/2003 (JO L 284 du 31.10.2003, p. 1).
(7) JO L 8 du 12.1.2001, p. 1.
ANNEXE
Textes communautaires applicables visés à l’article 2
Les textes communautaires applicables visés à l’article 2, paragraphe 1, sont:
|
1) |
la directive 2005/36/CE du Parlement européen et du Conseil du 7 septembre 2005 relative à la reconnaissance des qualifications professionnelles (1); |
|
2) |
la directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (2). |
(1) JO L 255 du 30.9.2005, p. 22. Directive modifiée par la directive 2006/100/CE du Conseil (JO L 363 du 20.12.2006, p. 141).