18.5.2018   

FR

Journal officiel de l'Union européenne

L 123/115

DÉCISION D'EXÉCUTION (UE) 2018/743 DE LA COMMISSION

du 16 mai 2018

relative à un projet pilote pour la mise en œuvre des dispositions applicables à la coopération administrative figurant dans le règlement (UE) 2016/679 du Parlement européen et du Conseil au moyen du système d'information du marché intérieur

(Texte présentant de l'intérêt pour l'EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne,

vu le règlement (UE) no 1024/2012 du Parlement européen et du Conseil du 25 octobre 2012 concernant la coopération administrative par l'intermédiaire du système d'information du marché intérieur et abrogeant la décision 2008/49/CE de la Commission («règlement IMI») (1), et notamment son article 4, paragraphe 1,

considérant ce qui suit:

(1)

Le système d'information du marché intérieur (ci-après l'«IMI») mis en place par le règlement (UE) no 1024/2012 est une application logicielle accessible via l'internet, développée par la Commission en coopération avec les États membres afin d'aider ceux-ci à mettre en pratique les exigences relatives aux échanges d'informations fixées dans des actes de l'Union, en proposant un mécanisme de communication centralisé qui facilite les échanges transfrontières d'informations et l'assistance mutuelle.

(2)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) définit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. Il définit les procédures à suivre en matière de coopération administrative entre les autorités de contrôle et entre les autorités de contrôle et le comité européen de la protection des données (ci-après le «comité») et, le cas échéant, avec la Commission. L'IMI pourrait être un outil efficace pour la mise en œuvre des dispositions relatives à la coopération administrative figurant dans le règlement (UE) 2016/679. Il est donc nécessaire de mener un projet pilote tel que visé à l'article 4 du règlement (UE) no 1024/2012.

(3)

Dans les cas où les États membres ont désigné, conformément au règlement (UE) 2016/679, une autorité de contrôle qui sert de point de contact unique, ce dernier devrait également être considéré comme une autorité compétente aux fins dudit projet pilote.

(4)

Afin d'assurer l'application cohérente des dispositions du règlement (UE) 2016/679 définissant les modalités de la coopération entre les autorités de surveillance, la Commission et le comité, l'IMI devrait prévoir la conservation de toutes les données relatives aux échanges d'information. L'IMI devrait permettre aux autorités de contrôle de réutiliser ces données pour leur éventuel traitement ultérieur dans le cadre d'échanges d'informations au titre des articles 56 et 60 à 66 du règlement (UE) 2016/679.

(5)

L'IMI devrait fournir une fonctionnalité qui permet au comité européen de la protection des données d'échanger, conformément aux points d) à k), m) et x) de l'article 70, paragraphe 1, du règlement (UE) 2016/679, des documents et des informations qui sont nécessaires pour assurer le traitement cohérent et rapide des cas.

(6)

L'article 4, paragraphe 2, du règlement (UE) no 1024/2012 fait obligation à la Commission de présenter une évaluation des résultats du projet pilote au Parlement européen et au Conseil. Il convient de prévoir un délai dans lequel cette évaluation doit être communiquée.

(7)

Le règlement (UE) 2016/679 s'appliquera à compter du 25 mai 2018. Il convient donc que la présente décision s'applique à compter de la même date.

(8)

Les mesures prévues par la présente décision sont conformes à l'avis du comité institué par l'article 24 du règlement (UE) no 1024/2012,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

Projet pilote

Les articles 56 et 60 à 66, ainsi que les points d) à k), m) et x) de l'article 70, paragraphe 1, du règlement (UE) 2016/679 font l'objet d'un projet pilote pour la mise en œuvre des dispositions applicables à la coopération administrative figurant dans ces articles au moyen du système d'information du marché intérieur (ci-après l'«IMI»).

Article 2

Autorités compétentes

Aux fins du projet pilote, les autorités de contrôle visées à l'article 51 du règlement (UE) 2016/679 et le comité européen de la protection des données visé à l'article 68 du règlement (UE) 2016/679 (ci-après le «comité») sont considérés comme des autorités compétentes.

Article 3

Coopération administrative entre autorités de contrôle

1.   Aux fins de l'article 56 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

lancement d'une consultation en vue de déterminer l'autorité de contrôle chef de file et les autres autorités de contrôle concernées pour un traitement transfrontières de données;

b)

communication de l'intention de participer à une consultation telle que visée au point a);

c)

communication de l'intention de traiter un cas au niveau local;

d)

communication de l'intention de l'autorité chef de file de traiter ou non le cas.

2.   Aux fins de l'article 60 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

communication et lancement d'une consultation sur un projet de décision;

b)

communication et lancement d'une consultation sur un projet de décision révisé;

c)

communication de l'intention de participer à la consultation visée aux points a) et b), y compris la communication d'objections pertinentes et motivées;

d)

communication d'une décision adoptée.

3.   Aux fins de l'article 61 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

demande introduite auprès d'une autre autorité de contrôle en vue d'obtenir une assistance mutuelle sous la forme d'informations et/ou de mesures de contrôle;

b)

réponse favorable ou, dans des cas exceptionnels, défavorable à une demande d'assistance mutuelle;

c)

communication sur l'avancement et le résultat des mesures prises pour donner suite à la demande;

d)

communication des éventuelles considérations relatives aux coûts.

4.   Aux fins de l'article 62 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

invitation à participer aux opérations conjointes, y compris aux enquêtes conjointes et aux mesures répressives conjointes;

b)

communication d'une demande de participation ou d'un refus de participation à une opération conjointe;

c)

communication de l'accord pour mener une opération conjointe.

Article 4

Coopération administrative entre les autorités de contrôle, le comité et la Commission

1.   Aux fins de l'article 64 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

présentation au comité d'une demande d'avis concernant:

i)

un projet de décision de l'autorité de contrôle compétente concernant l'une des mesures visées à l'article 64, paragraphe 1;

ii)

une question d'application générale;

iii)

une question produisant des effets dans plusieurs États membres;

b)

la communication d'un projet d'avis du comité;

c)

la communication relative à la demande et en particulier au projet d'avis du comité;

d)

la communication d'un avis définitif émis par le comité;

e)

la communication de l'intention de suivre ou non l'avis du comité et, le cas échéant, de modifier le projet de décision et de communiquer le projet de décision modifié.

2.   Aux fins de l'article 65 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

introduction d'une demande de décision contraignante du comité dans les cas suivants:

i)

lorsqu'une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité chef de file et que cette dernière l'a rejetée comme n'étant pas pertinente ou motivée conformément à l'article 60, paragraphe 4, du règlement (UE) 2016/679;

ii)

lorsqu'il existe des points de vue divergents quant à l'autorité de contrôle concernée qui est compétente pour l'établissement principal;

iii)

lorsqu'une autorité de contrôle compétente ne demande pas l'avis du comité dans les cas visés à l'article 64 du règlement (UE) 2016/679;

iv)

lorsqu'une autorité de contrôle compétente ne suit pas l'avis que le comité a rendu conformément à l'article 64, paragraphe 1, du règlement (UE) 2016/679;

b)

lors de la communication d'un projet de décision contraignante du comité;

c)

lors de la communication relative à la demande et en particulier à la décision contraignante du comité;

d)

lors de la communication de la décision contraignante adoptée par le comité;

e)

lors de la communication du fait qu'une autorité de contrôle a notifié respectivement au responsable du traitement ou au sous-traitant ainsi qu'à la personne concernée la décision définitive et la date de la notification.

3.   Aux fins de l'article 66 du règlement (UE) 2016/679, l'IMI fournit, en particulier, la fonctionnalité technique de base suivante:

a)

communication des mesures provisoires et les raisons de leur adoption;

b)

présentation au comité d'une demande d'avis d'urgence ou de décision d'urgence;

c)

communication d'un projet d'avis ou de décision du comité;

d)

communication relative à la demande et en particulier au projet d'avis ou au projet de décision du comité;

e)

communication de l'avis définitif ou de la décision définitive;

f)

communication de l'intention de suivre ou non l'avis du comité et, le cas échéant, de modifier le projet de décision;

g)

communication du fait qu'une autorité de contrôle a informé les parties concernées de la décision.

Article 5

Conservation et réutilisation des données en vue de leur traitement ultérieur

L'IMI prévoit la conservation des données traitées lors des échanges d'informations au titre des articles 56 et 60 à 66 du règlement (UE) 2016/679. Lorsqu'elles sont nécessaires en vue de leur traitement ultérieur au titre de ces articles, l'IMI permet la réutilisation des données conservées.

Article 6

Garantir l'application cohérente du règlement (UE) 2016/679

L'IMI prévoit une fonctionnalité qui permet au comité d'échanger les documents et informations visés aux points d) à k), m) et x) de l'article 70, paragraphe 1, du règlement (UE) 2016/679.

Article 7

Évaluation

Une évaluation du résultat du projet pilote visé à l'article 4, paragraphe 2, du règlement (UE) no 1024/2012 est présentée au Parlement européen et au Conseil au plus tard le 31 décembre 2021.

Article 8

Entrée en vigueur et application

La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Elle est applicable à partir du 25 mai 2018.

Fait à Bruxelles, le 16 mai 2018.

Par la Commission

Le président

Jean-Claude JUNCKER

(1)  JO L 316 du 14.11.2012, p. 1.

(2)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).