1.   Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de l’Union et des règles relatives à la libre circulation des données à caractère personnel entre ces institutions et organes ou vers d’autres destinataires établis dans l’Union.

2.   Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3.   Le Contrôleur européen de la protection des données contrôle l’application des dispositions du présent règlement à tous les traitements effectués par une institution ou un organe de l’Union.

1.   Le présent règlement s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union.

2.   Seuls l’article 3 et le chapitre IX du présent règlement s’appliquent au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne.

3.   Le présent règlement ne s’applique au traitement des données opérationnelles à caractère personnel par Europol et le Parquet européen qu’une fois que le règlement (UE) 2016/794 du Parlement européen et du Conseil (15) et le règlement (UE) 2017/1939 du Conseil (16) ont été adaptés conformément à l’article 98 du présent règlement.

4.   Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité sur l’Union européenne.

5.   Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

1.   Les données à caractère personnel doivent être:

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

2.   Le fondement du traitement visé au paragraphe 1, points a) et b), est inscrit dans le droit de l’Union.

1.   Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2.   Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

3.   La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4.   Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

1.   Lorsque l’article 5, paragraphe 1, point d), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins treize ans. Lorsque l’enfant est âgé de moins de treize ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

2.   Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

3.   Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.

1.   Sans préjudice des articles 4 à 6 et de l’article 10, des données à caractère personnel ne sont transmises à des destinataires établis dans l’Union autres que les institutions et organes de l’Union que si:

2.   Lorsque la transmission au titre du présent article a lieu sur l’initiative du responsable du traitement, celui-ci démontre que la transmission de données à caractère personnel est nécessaire et proportionnée à ses finalités, en appliquant les critères énoncés au paragraphe 1, point a) ou b).

3.   Les institutions et organes de l’Union concilient le droit à la protection des données à caractère personnel avec le droit d’accès aux documents conformément au droit de l’Union.

1.   Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.   Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie:

3.   Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union ou au droit d’un État membre, ou aux règles arrêtées par les organismes nationaux compétents, ou sous la responsabilité d’un tel professionnel, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre, ou aux règles arrêtées par les organismes nationaux compétents.

1.   Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.

2.   Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 17 à 22 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.

1.   Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 15 et 16 ainsi que pour procéder à toute communication au titre des articles 17 à 24 et de l’article 35 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens, y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.   Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 17 à 24. Dans les cas visés à l’article 12, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 17 à 24, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

3.   Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 17 à 24, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

4.   Si le responsable du traitement ne donne pas à la suite de la demande formulée par la personne concernée, il informe celle-ci sans tarder, et au plus tard dans un délai d’un mois à compter de la réception de la demande, des motifs de son inaction et de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données et de former un recours juridictionnel.

5.   Aucun paiement n’est exigé pour fournir les informations au titre des articles 15 et 16 et pour procéder à une communication et prendre une mesure au titre des articles 17 à 24 et de l’article 35. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6.   Sans préjudice de l’article 12, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 17 à 23, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

7.   Les informations à communiquer aux personnes concernées en application des articles 15 et 16 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

8.   Lorsque la Commission adopte des actes délégués en vertu de l’article 12, paragraphe 8, du règlement (UE) 2016/679 aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées, les institutions et organes de l’Union fournissent, le cas échéant, les informations requises en vertu des articles 15 et 16 du présent règlement en combinaison avec ces icônes normalisées.

1.   Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

2.   En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

3.   Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle elles ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4.   Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

1.   Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

2.   En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations complémentaires suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

3.   Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

4.   Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5.   Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

6.   Dans les cas visés au paragraphe 5, point b), le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

1.   La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:

2.   Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, fournies en vertu de l’article 48, en ce qui concerne ce transfert.

3.   Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.   Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

1.   La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

2.   Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement, ou les responsables du traitement autres que les institutions et organes de l’Union, qui traitent ces données à caractère personnel, que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3.   Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

1.   La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique:

2.   Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

3.   Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

4.   En ce qui concerne les fichiers automatisés, la limitation du traitement est en principe assurée par des moyens techniques. Le fait que les données à caractère personnel font l’objet d’une limitation est indiqué dans le fichier de façon à ce qu’il apparaisse clairement que les données à caractère personnel ne peuvent pas être utilisées.

1.   Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

2.   Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre ou à des responsables du traitement autres que les institutions et organes de l’Union, lorsque cela est techniquement possible.

3.   L’exercice du droit prévu au paragraphe 1 du présent article s’entend sans préjudice de l’article 19. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

4.   Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés d’autrui.

1.   La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 5, paragraphe 1, point a), y compris un profilage fondé sur cette disposition. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.   Au plus tard au moment de la première communication avec la personne concernée, le droit visé au paragraphe 1 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

3.   Sans préjudice des articles 36 et 37, dans le cadre de l’utilisation de services de la société de l’information, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

4.   Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

1.   La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

2.   Le paragraphe 1 ne s’applique pas lorsque la décision:

3.   Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

4.   Les décisions visées au paragraphe 2 du présent article ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 10, paragraphe 1, à moins que l’article 10, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

1.   Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions et organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

2.   En particulier, les actes juridiques ou règles internes visés au paragraphe 1 contiennent des dispositions spécifiques, le cas échéant, en ce qui concerne:

3.   Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union, qui peut inclure des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement, peut prévoir des dérogations aux droits visés aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties visées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4.   Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union, qui peut inclure des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement, peut prévoir des dérogations aux droits visés aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties visées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

5.   Les règles internes visées aux paragraphes 1, 3 et 4 sont des actes de portée générale, clairs et précis, destinés à produire des effets juridiques vis-à-vis des personnes concernées; elles sont adoptées au niveau le plus élevé de la hiérarchie des institutions et organes de l’Union et font l’objet d’une publication au Journal officiel de l’Union européenne.

6.   Si une limitation est imposée en vertu du paragraphe 1, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données.

7.   Si une limitation imposée en vertu du paragraphe 1 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

8.   La communication des informations visées aux paragraphes 6 et 7 du présent article et à l’article 45, paragraphe 2, peut être différée, omise ou refusée si elle prive d’effet la limitation imposée en vertu du paragraphe 1 du présent article.

1.   Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2.   Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3.   L’application de mécanismes de certification approuvés comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective, et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2.   Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

3.   Un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

1.   Lorsque deux ou plusieurs responsables du traitement ou un ou plusieurs responsables du traitement avec un ou plusieurs responsables du traitement autres que les institutions et organes de l’Union déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs responsabilités respectives aux fins d’assurer le respect des obligations qui leur incombent en matière de protection des données, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations énumérées aux articles 15 et 16, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs responsabilités respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables conjoints du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

2.   L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

3.   Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

1.   Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2.   Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3.   Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

En ce qui concerne le premier alinéa, point h), le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4.   Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3 sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

5.   Lorsqu’un sous-traitant n’est pas une institution ou un organe de l’Union, le fait qu’il applique un code de conduite approuvé, comme le prévoit l’article 40, paragraphe 5, du règlement (UE) 2016/679, ou un mécanisme de certification approuvé, comme le prévoit l’article 42 du même règlement, peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6.   Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement autre qu’une institution ou un organe de l’Union en vertu de l’article 42 du règlement (UE) 2016/679.

7.   La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 96, paragraphe 2.

8.   Le Contrôleur européen de la protection des données peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4.

9.   Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous forme écrite, y compris sous forme électronique.

10.   Sans préjudice des articles 65 et 66, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

1.   Chaque responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité. Ce registre comporte toutes les informations suivantes:

2.   Chaque sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

3.   Les registres visés aux paragraphes 1 et 2 se présentent sous forme écrite, y compris sous forme électronique.

4.   Les institutions et organes de l’Union mettent le registre à la disposition du Contrôleur européen de la protection des données sur demande.

5.   Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, les institutions et organes de l’Union consignent leurs activités de traitement dans un registre central. Ils mettent ce registre à la disposition du public.

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment, de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.   Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant qui a accès à des données à caractère personnel ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union.

4.   L’application d’un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences énoncées au paragraphe 1 du présent article.

1.   En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question au Contrôleur européen de la protection des données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification au Contrôleur européen de la protection des données n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.   Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3.   La notification visée au paragraphe 1 doit, à tout le moins:

4.   Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5.   Le responsable du traitement informe le délégué à la protection des données de la violation de données à caractère personnel.

6.   Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation de données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet au Contrôleur européen de la protection des données de vérifier le respect du présent article.

1.   Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.   La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 34, paragraphe 3, points b), c) et d).

3.   La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

4.   Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, le Contrôleur européen de la protection des données peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions énumérées au paragraphe 3 est remplie.

1.   Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire.

2.   Les institutions et organes de l’Union prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans ces annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe.

1.   Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

2.   Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données.

3.   L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

4.   Le Contrôleur européen de la protection des données établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise en vertu du paragraphe 1.

5.   Le Contrôleur européen de la protection des données peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

6.   Avant d’adopter les listes visées aux paragraphes 4 et 5 du présent article, le Contrôleur européen de la protection des données demande au comité européen de la protection des données institué par l’article 68 du règlement (UE) 2016/679 d’examiner lesdites listes conformément à l’article 70, paragraphe 1, point e), dudit règlement, lorsqu’elles ont trait à des opérations de traitement effectuées par un responsable du traitement agissant conjointement avec un ou plusieurs responsables du traitement autres que les institutions et organes de l’Union.

7.   L’analyse contient au moins:

8.   Le respect, par les sous-traitants concernés autres que des institutions ou organes de l’Union, de codes de conduite approuvés comme prévu à l’article 40 du règlement (UE) 2016/679 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.

9.   Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou de la sécurité des opérations de traitement.

10.   Lorsque le traitement effectué en application de l’article 5, paragraphe 1, point a) ou b), a comme base juridique un acte juridique adopté en vertu des traités, que cette base réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée préalablement à l’adoption de l’acte juridique en question, les paragraphes 1 à 6 du présent article ne s’appliquent pas, à moins que le droit de l’Union n’en dispose autrement.

11.   Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

1.   Le responsable du traitement consulte le Contrôleur européen de la protection des données préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 39 indique qu’en l’absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés de personnes physiques et que le responsable du traitement est d’avis que ce risque ne peut être atténué par des moyens raisonnables, compte tenu des techniques disponibles et des coûts de mise en œuvre. Le responsable du traitement demande conseil au délégué à la protection des données quant à la nécessité d’une consultation préalable.

2.   Lorsque le Contrôleur européen de la protection des données est d’avis que le traitement envisagé visé au paragraphe 1 constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, le Contrôleur européen de la protection des données fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. Le Contrôleur européen de la protection des données informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que le Contrôleur européen de la protection des données ait obtenu les informations qu’il a demandées pour les besoins de la consultation.

3.   Lorsque le responsable du traitement consulte le Contrôleur européen de la protection des données en application du paragraphe 1, il lui communique:

4.   La Commission peut, par la voie d’un acte d’exécution, arrêter une liste de cas dans lesquels les responsables du traitement consultent le Contrôleur européen de la protection des données et obtiennent son autorisation préalable en ce qui concerne un traitement de données à caractère personnel effectué dans le cadre d’une mission d’intérêt public exercée par un responsable du traitement, y compris le traitement de telles données dans le cadre de la protection sociale et de la santé publique.

1.   Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données lorsqu’ils élaborent des mesures administratives et des règles internes relatives au traitement de données à caractère personnel par une institution ou un organe de l’Union, que ce soit seuls ou conjointement avec d’autres.

2.   Les institutions et organes de l’Union consultent le Contrôleur européen de la protection des données lorsqu’ils élaborent les règles internes visées à l’article 25.

1.   À la suite de l’adoption de propositions d’acte législatif, de recommandations ou de propositions au Conseil en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne ou lors de l’élaboration d’actes délégués ou d’actes d’exécution, la Commission consulte le Contrôleur européen de la protection des données en cas d’incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel.

2.   Lorsqu’un acte visé au paragraphe 1 revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de données à caractère personnel, la Commission peut également consulter le comité européen de la protection des données. Dans ce cas, le Contrôleur européen de la protection des données et le comité européen de la protection des données coordonnent leurs travaux en vue de formuler un avis conjoint.

3.   Les avis visés aux paragraphes 1 et 2 sont communiqués par écrit dans un délai maximal de huit semaines à compter de la réception de la demande de consultation prévue aux paragraphes 1 et 2. En cas d’urgence ou s’il y a autrement lieu, la Commission peut réduire ce délai.

4.   Le présent article ne s’applique pas lorsque le règlement (UE) 2016/679 fait obligation à la Commission de consulter le comité européen de la protection des données.

1.   Chaque institution ou organe de l’Union désigne un délégué à la protection des données.

2.   Un seul et même délégué à la protection des données peut être désigné pour plusieurs institutions et organes de l’Union, compte tenu de leur structure organisationnelle et de leur taille.

3.   Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 45.

4.   Le délégué à la protection des données est un membre du personnel de l’institution ou de l’organe de l’Union. Compte tenu de leur taille et si l’option prévue au paragraphe 2 n’est pas exercée, les institutions et organes de l’Union peuvent désigner un délégué à la protection des données, qui exerce ses missions sur la base d’un contrat de service.

5.   Les institutions et organes de l’Union publient les coordonnées du délégué à la protection des données et les communiquent au Contrôleur européen de la protection des données.

1.   Les institutions et organes de l’Union veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2.   Les institutions et organes de l’Union aident le délégué à la protection des données à exercer les missions visées à l’article 45 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées.

3.   Les institutions et organes de l’Union veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ces missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

4.   Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.

5.   Le délégué à la protection des données et son personnel sont soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions, conformément au droit de l’Union.

6.   Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veille à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.

7.   Le délégué à la protection des données peut être consulté, sans passer par les voies officielles, par le responsable du traitement et le sous-traitant, par le comité du personnel concerné ou encore par toute personne physique sur toute question concernant l’interprétation ou l’application du présent règlement. Aucune personne ne doit subir de préjudice pour avoir porté à l’attention du délégué à la protection des données compétent un fait dont elle allègue qu’il constitue une violation des dispositions du présent règlement.

8.   Le délégué à la protection des données est désigné pour une période de trois à cinq ans et son mandat est renouvelable. Il ne peut être relevé de ses fonctions par l’institution ou l’organe de l’Union qui l’a désigné s’il ne remplit plus les conditions requises pour l’exercice de ses fonctions qu’avec le consentement du Contrôleur européen de la protection des données.

9.   Après la désignation du délégué à la protection des données, le nom de ce dernier est communiqué au Contrôleur européen de la protection des données par l’institution ou l’organe de l’Union qui l’a désigné.

1.   Les missions du délégué à la protection des données sont les suivantes:

2.   Le délégué à la protection des données peut faire des recommandations visant à améliorer concrètement la protection des données au responsable du traitement et au sous-traitant et conseiller ces derniers sur des questions touchant à l’application des dispositions relatives à la protection des données. En outre, de sa propre initiative ou à la demande du responsable du traitement ou du sous-traitant, du comité du personnel concerné ou de toute personne physique, il peut examiner des questions et des faits qui sont directement en rapport avec ses missions et qui ont été portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen ou au responsable du traitement ou au sous-traitant.

3.   Des dispositions d’application complémentaires concernant le délégué à la protection des données sont adoptées par chaque institution ou organe de l’Union. Elles concernent en particulier les missions, les fonctions et les compétences du délégué à la protection des données.

1.   Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat et que le transfert de données à caractère personnel a lieu exclusivement pour permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement.

2.   Les institutions et organes de l’Union informent la Commission et le Contrôleur européen de la protection des données des cas dans lesquels ils estiment qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale en question n’assure pas un niveau de protection adéquat au sens du paragraphe 1.

3.   Les institutions et organes de l’Union prennent les mesures nécessaires pour se conformer aux décisions prises par la Commission lorsque cette dernière constate, en vertu de l’article 45, paragraphe 3 ou 5, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3 ou 5, de la directive (UE) 2016/680, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale assure ou n’assure plus un niveau de protection adéquat.

1.   En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2.   Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière du Contrôleur européen de la protection des données, par:

3.   Sous réserve de l’autorisation du Contrôleur européen de la protection des données, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

4.   Les autorisations accordées par le Contrôleur européen de la protection des données sur le fondement de l’article 9, paragraphe 7, du règlement (CE) no 45/2001 demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par le Contrôleur européen de la protection des données.

5.   Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données des catégories de cas dans lesquels le présent article a été appliqué.

1.   En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, ou de garanties appropriées en vertu de l’article 48 du présent règlement, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes:

2.   Les points a), b) et c) du paragraphe 1 ne s’appliquent pas aux activités menées par les institutions et organes de l’Union dans l’exercice de leurs prérogatives de puissance publique.

3.   L’intérêt public visé au paragraphe 1, point d), est reconnu par le droit de l’Union.

4.   Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre, à moins que le droit de l’Union ne l’autorise. Lorsque le registre est destiné à être consulté par des personnes justifiant d’un intérêt légitime, le transfert n’est effectué qu’à la demande de ces personnes ou lorsqu’elles en sont les destinataires.

5.   En l’absence de décision d’adéquation, le droit de l’Union peut, pour des motifs importants d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données à caractère personnel vers un pays tiers ou à une organisation internationale.

6.   Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données des catégories de cas dans lesquels le présent article a été appliqué.

1.   La fonction de Contrôleur européen de la protection des données est instituée.

2.   En ce qui concerne le traitement de données à caractère personnel, le Contrôleur européen de la protection des données est chargé de veiller à ce que les libertés et droits fondamentaux des personnes physiques, notamment le droit à la protection des données, soient respectés par les institutions et organes de l’Union.

3.   Le Contrôleur européen de la protection des données est chargé de contrôler et d’assurer l’application des dispositions du présent règlement et de tout autre acte de l’Union concernant la protection des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel effectués par une institution ou un organe de l’Union, ainsi que de conseiller les institutions et organes de l’Union et les personnes concernées pour toutes les questions concernant le traitement des données à caractère personnel. À ces fins, le Contrôleur européen de la protection des données remplit les missions prévues à l’article 57 et exerce les pouvoirs qui lui sont conférés à l’article 58.

4.   Le règlement (CE) no 1049/2001 s’applique aux documents détenus par le Contrôleur européen de la protection des données. Le Contrôleur européen de la protection des données adopte des modalités d’application du règlement (CE) no 1049/2001 en ce qui concerne ces documents.

1.   Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permet à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats établie par la Commission est publique et comporte au moins trois candidats. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, peut décider d’organiser une audition de manière à être en mesure d’émettre une préférence.

2.   La liste de candidats visée au paragraphe 1 est constituée de personnes offrant toutes garanties d’indépendance et qui possèdent, de manière notoire, des connaissances spécialisées en matière de protection des données ainsi que l’expérience et les compétences requises pour l’exercice des fonctions de Contrôleur européen de la protection des données.

3.   Le mandat du Contrôleur européen de la protection des données est renouvelable une fois.

4.   Les fonctions du Contrôleur européen de la protection des données prennent fin dans les circonstances suivantes:

5.   Le Contrôleur européen de la protection des données peut être déclaré démissionnaire ou déchu du droit à pension ou d’autres avantages en tenant lieu par la Cour, à la requête du Parlement européen, du Conseil ou de la Commission, s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions ou s’il a commis une faute grave.

6.   Dans les cas de renouvellement régulier et de démission volontaire, le Contrôleur européen de la protection des données reste néanmoins en fonction jusqu’à ce qu’il soit pourvu à son remplacement.

7.   Les articles 11 à 14 et 17 du protocole sur les privilèges et immunités de l’Union européenne s’appliquent au Contrôleur européen de la protection des données.

1.   La fonction de Contrôleur européen de la protection des données est considérée comme équivalente à celle de juge de la Cour en ce qui concerne la détermination du traitement, des indemnités, de la pension d’ancienneté, et de tout autre avantage tenant lieu de rémunération.

2.   L’autorité budgétaire veille à ce que le Contrôleur européen de la protection des données dispose des ressources humaines et financières nécessaires à l’exercice de ses missions.

3.   Le budget du Contrôleur européen de la protection des données figure sur une ligne spécifique de la section relative aux dépenses administratives du budget général de l’Union.

4.   Le Contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le Contrôleur européen de la protection des données, qui est leur supérieur hiérarchique. Ils en relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire. L’article 75, paragraphe 2, du règlement (UE) 2016/679 s’applique au personnel du Contrôleur européen de la protection des données chargé de mener à bien les missions conférées au comité européen de la protection des données par le droit de l’Union.

5.   Les fonctionnaires et les autres agents du secrétariat du Contrôleur européen de la protection des données sont soumis aux règles et réglementations applicables aux fonctionnaires et autres agents de l’Union.

6.   Le Contrôleur européen de la protection des données a son siège à Bruxelles.

1.   Le Contrôleur européen de la protection des données exerce en toute indépendance ses missions et ses pouvoirs conformément au présent règlement.

2.   Dans l’exercice de ses missions et de ses pouvoirs conformément au présent règlement, le Contrôleur européen de la protection des données demeure libre de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicite ni n’accepte d’instructions de quiconque.

3.   Le Contrôleur européen de la protection des données s’abstient de tout acte incompatible avec ses fonctions et, pendant la durée de celles-ci, ne peut exercer aucune autre activité professionnelle, rémunérée ou non.

4.   Après la cessation de ses fonctions, le Contrôleur européen de la protection des données est tenu de respecter les devoirs d’honnêteté et de délicatesse quant à l’acceptation de certaines fonctions ou de certains avantages.

1.   Sans préjudice des autres missions prévues par le présent règlement, le Contrôleur européen de la protection des données:

2.   Le Contrôleur européen de la protection des données facilite l’introduction des réclamations visées au paragraphe 1, point e), par la mise à disposition d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

3.   L’accomplissement des missions du Contrôleur européen de la protection des données est gratuit pour la personne concernée.

4.   Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, le Contrôleur européen de la protection des données peut refuser d’y donner suite. Il incombe au Contrôleur européen de la protection des données de démontrer le caractère manifestement infondé ou excessif de la demande.

1.   Le Contrôleur européen de la protection des données dispose des pouvoirs d’enquête suivants:

2.   Le Contrôleur européen de la protection des données dispose du pouvoir d’adopter les mesures correctrices suivantes:

3.   Le Contrôleur européen de la protection des données dispose des pouvoirs d’autorisation et des pouvoirs consultatifs suivants:

4.   Le Contrôleur européen de la protection des données a le pouvoir de saisir la Cour dans les conditions prévues par les traités et d’intervenir dans les affaires portées devant la Cour.

5.   L’exercice des pouvoirs conférés au Contrôleur européen de la protection des données en vertu du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévu par le droit de l’Union.

1.   Le Contrôleur européen de la protection des données présente au Parlement européen, au Conseil et à la Commission un rapport annuel sur ses activités, qu’il rend public parallèlement.

2.   Le Contrôleur européen de la protection des données transmet le rapport visé au paragraphe 1 aux autres institutions et organes de l’Union, qui peuvent présenter des observations en vue d’un éventuel examen du rapport par le Parlement européen.

1.   Lorsqu’un acte de l’Union renvoie au présent article, le Contrôleur européen de la protection des données et les autorités de contrôle nationales, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif des systèmes d’information à grande échelle et des organes et organismes de l’Union.

2.   Si nécessaire, agissant chacun dans les limites de leurs compétences respectives et dans le cadre de leurs responsabilités, ils échangent des informations utiles, se prêtent mutuellement assistance dans la réalisation d’audits et d’inspections, examinent les difficultés d’interprétation ou d’application du présent règlement et d’autres actes de l’Union applicables, étudient les problèmes liés à l’exercice d’un contrôle indépendant ou à l’exercice des droits des personnes concernées, définissent des propositions harmonisées visant à trouver des solutions aux problèmes éventuels et sensibilisent le public à la protection des données.

3.   Aux fins prévues au paragraphe 2, le Contrôleur européen de la protection des données et les autorités de contrôle nationales se réunissent au moins deux fois par an dans le cadre du comité européen de la protection des données. À cet effet, le comité européen de la protection des données peut mettre au point d’autres méthodes de travail, si nécessaire.

4.   Le comité européen de la protection des données transmet tous les deux ans un rapport conjoint relatif aux activités de contrôle coordonné au Parlement européen, au Conseil et à la Commission.

1.   Sans préjudice de tout recours juridictionnel, administratif ou non juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2.   Le Contrôleur européen de la protection des données informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 64.

3.   Si le Contrôleur européen de la protection des données ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation, il est réputé avoir adopté une décision négative.

1.   La Cour est compétente pour connaître de tout litige relatif aux dispositions du présent règlement, y compris les demandes d’indemnisation.

2.   Les décisions du Contrôleur européen de la protection des données, y compris les décisions rendues au titre de l’article 63, paragraphe 3, peuvent faire l’objet d’un recours devant la Cour.

3.   La Cour dispose d’une compétence de pleine juridiction pour statuer sur les recours formés contre les amendes administratives visées à l’article 66. Elle peut annuler, réduire ou majorer ces amendes dans les limites fixées à l’article 66.

1.   Le Contrôleur européen de la protection des données peut imposer des amendes administratives aux institutions et organes de l’Union, en fonction des circonstances propres à chaque cas, lorsqu’une institution ou un organe de l’Union ne respecte pas une injonction du Contrôleur européen de la protection des données émise en vertu de l’article 58, paragraphe 2, points d) à h) et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

2.   Toute violation des obligations de l’institution ou de l’organe de l’Union prévues aux articles 8, 12, 27 à 35, 39, 40, 43, 44 et 45 fait l’objet, conformément au paragraphe 1 du présent article, d’amendes administratives pouvant s’élever jusqu’à 25 000 EUR par violation et 250 000 EUR par an au total.

3.   Toute violation des dispositions suivantes par l’institution ou l’organe de l’Union fait l’objet, conformément au paragraphe 1, d’amendes administratives pouvant s’élever jusqu’à 50 000 EUR par violation et 500 000 EUR par an au total:

4.   Si une institution ou un organe de l’Union viole plusieurs dispositions du présent règlement ou plusieurs fois la même disposition du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées ou continues, le montant total de l’amende administrative ne peut excéder le montant fixé pour la violation la plus grave.

5.   Avant de prendre des décisions en vertu du présent article, le Contrôleur européen de la protection des données donne à l’institution ou à l’organe de l’Union faisant l’objet des procédures conduites par le Contrôleur européen de la protection des données la possibilité de faire connaître son point de vue au sujet des griefs que le Contrôleur européen de la protection des données a retenus. Le Contrôleur européen de la protection des données ne fonde ses décisions que sur les griefs au sujet desquels les parties concernées ont pu formuler des observations. Les plaignants sont étroitement associés à la procédure.

6.   Les droits de la défense des parties concernées sont pleinement respectés dans le déroulement de la procédure. Les parties disposent d’un droit d’accès au dossier du Contrôleur européen de la protection des données, sous réserve de l’intérêt légitime des personnes ou entreprises concernées en ce qui concerne la protection de leurs données à caractère personnel ou de leurs secrets commerciaux.

7.   Les fonds collectés en imposant des amendes en vertu du présent article font partie des recettes du budget général de l’Union.

1.   Les données opérationnelles à caractère personnel doivent être:

2.   Le traitement, par le même ou par un autre responsable du traitement, pour l’une ou l’autre des finalités énoncées dans l’acte juridique instituant l’organe ou l’organisme de l’Union, autre que celles pour lesquelles les données opérationnelles à caractère personnel ont été collectées, est autorisé à condition que:

3.   Le traitement par le même ou par un autre responsable du traitement peut comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées dans l’acte juridique instituant l’organe ou l’organisme de l’Union, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées.

4.   Le responsable du traitement est responsable du respect des paragraphes 1, 2 et 3 et est en mesure de démontrer que ces dispositions sont respectées.

1.   Le traitement des données opérationnelles à caractère personnel n’est licite que si, et dans la mesure où, il est nécessaire à l’exécution d’une mission effectuée par des organes et organismes de l’Union dans l’exercice d’activités qui relèvent du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, et il est fondé sur le droit de l’Union.

2.   Les actes juridiques spécifiques de l’Union qui régissent le traitement dans le cadre du champ d’application du présent chapitre précisent au moins les objectifs du traitement, les données opérationnelles à caractère personnel à traiter, les finalités du traitement et les délais de conservation des données opérationnelles à caractère personnel ou les délais de vérification régulière de la nécessité de conserver les données opérationnelles à caractère personnel.

1.   Le responsable du traitement établit, dans la mesure du possible, une distinction entre les données opérationnelles à caractère personnel fondées sur des faits et celles fondées sur des appréciations personnelles.

2.   Le responsable du traitement prend toutes les mesures raisonnables pour garantir que les données opérationnelles à caractère personnel qui sont inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, le responsable du traitement vérifie, dans la mesure du possible et s’il y a lieu, la qualité des données opérationnelles à caractère personnel avant leur transmission ou mise à disposition, par exemple, en consultant l’autorité compétente d’où proviennent les données. Dans la mesure du possible, lors de toute transmission de données opérationnelles à caractère personnel, le responsable du traitement ajoute les informations nécessaires pour permettre au destinataire de juger du degré d’exactitude, d’exhaustivité et de fiabilité des données opérationnelles à caractère personnel, et de leur niveau de mise à jour.

3.   S’il s’avère que des données opérationnelles à caractère personnel inexactes ont été transmises ou que des données opérationnelles à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données opérationnelles à caractère personnel concernées sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 82.

1.   Lorsque le droit de l’Union applicable au responsable du traitement qui transmet les données soumet le traitement à des conditions spécifiques, le responsable du traitement informe le destinataire de ces données opérationnelles à caractère personnel de ces conditions et de l’obligation de les respecter.

2.   Le responsable du traitement respecte les conditions spécifiques applicables au traitement prévues par une autorité compétente qui transmet les données, conformément à l’article 9, paragraphes 3 et 4, de la directive (UE) 2016/680.

1.   Le traitement des données opérationnelles à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données opérationnelles à caractère personnel concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement en cas de nécessité absolue à des fins opérationnelles dans le cadre du mandat de l’organe ou de l’organisme de l’Union concerné et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. La discrimination à l’égard de personnes physiques sur la base de ces données à caractère personnel est interdite.

2.   Le délégué à la protection des données est informé dans les meilleurs délais du recours au présent article.

1.   Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte de manière significative est interdite, à moins qu’elle ne soit autorisée par une disposition du droit de l’Union à laquelle le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement.

2.   Les décisions visées au paragraphe 1 du présent article ne sont pas fondées sur les catégories particulières de données à caractère personnel visées à l’article 76, à moins que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ne soient en place.

3.   Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l’article 76 est interdit, conformément au droit de l’Union.

1.   Le responsable du traitement prend des mesures raisonnables pour fournir toute information visée à l’article 79 et procède à toute communication au titre des articles 80 à 84 et de l’article 92 en ce qui concerne le traitement à la personne concernée d’une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande.

2.   Le responsable du traitement facilite l’exercice des droits de la personne concernée au titre des articles 79 à 84.

3.   Le responsable du traitement informe par écrit la personne concernée de la suite réservée à sa demande, dans les meilleurs délais, et en tout état de cause au plus tard trois mois après réception de la demande de la personne concernée.

4.   Le responsable du traitement fournit les informations visées à l’article 79 et procède à toute communication et prend toute mesure au titre des articles 80 à 84 et de l’article 92 à titre gratuit. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

5.   Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée à l’article 80 ou 82, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

1.   Le responsable du traitement met à la disposition de la personne concernée au moins les informations suivantes:

2.   Outre les informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, dans des cas particuliers prévus par le droit de l’Union, les informations supplémentaires suivantes afin de lui permettre d’exercer ses droits:

3.   Le responsable du traitement peut retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

1.   Le responsable du traitement peut limiter, entièrement ou partiellement, le droit d’accès de la personne concernée, dès lors et aussi longtemps qu’une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

2.   Dans les cas visés au paragraphe 1, le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au paragraphe 1. Le responsable du traitement informe la personne concernée de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour. Le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition du Contrôleur européen de la protection des données sur demande.

1.   Toute personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données opérationnelles à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données opérationnelles à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

2.   Le responsable du traitement efface, dans les meilleurs délais, les données opérationnelles à caractère personnel et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant lorsque le traitement constitue une violation de l’article 71, de l’article 72, paragraphe 1, ou de l’article 76, ou lorsque les données opérationnelles à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.

3.   Au lieu de procéder à l’effacement, le responsable du traitement limite le traitement lorsque:

Lorsque le traitement est limité en vertu du premier alinéa, point a), le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.

Les données soumises à limitation ne sont traitées que pour les finalités qui ont empêché leur effacement.

4.   Le responsable du traitement informe la personne concernée par écrit de tout refus de rectifier ou d’effacer des données opérationnelles à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Le responsable du traitement peut limiter, entièrement ou partiellement, la fourniture de ces informations dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

Le responsable du traitement informe la personne concernée de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour.

5.   Le responsable du traitement communique la rectification des données opérationnelles à caractère personnel inexactes à l’autorité compétente d’où proviennent les données opérationnelles à caractère personnel inexactes.

6.   Lorsque des données opérationnelles à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité en application des paragraphe 1, 2 ou 3, le responsable du traitement adresse une notification aux destinataires et les informe qu’ils doivent rectifier ou effacer les données opérationnelles à caractère personnel ou limiter le traitement des données opérationnelles à caractère personnel sous leur responsabilité.

1.   Dans les cas visés à l’article 79, paragraphe 3, à l’article 81 et à l’article 82, paragraphe 4, les droits de la personne concernée peuvent également être exercés par l’intermédiaire du Contrôleur européen de la protection des données.

2.   Le responsable du traitement informe la personne concernée de la possibilité qu’elle a d’exercer ses droits par l’intermédiaire du Contrôleur européen de la protection des données en application du paragraphe 1.

3.   Lorsque le droit visé au paragraphe 1 est exercé, le Contrôleur européen de la protection des données informe au moins la personne concernée du fait qu’il a procédé à toutes les vérifications nécessaires ou à un examen. Le Contrôleur européen de la protection des données informe également la personne concernée de son droit de former un recours juridictionnel devant la Cour.

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et les libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de l’acte juridique qui l’a institué et de protéger les droits de la personne concernée.

2.   Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données opérationnelles à caractère personnel qui sont adéquates, pertinentes et non excessives au regard de la finalité du traitement sont traitées. Cette obligation s’applique à la quantité de données opérationnelles à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données opérationnelles à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

1.   Lorsque deux ou plusieurs responsables du traitement ou un ou plusieurs responsables du traitement avec un ou plusieurs responsables du traitement autres que les institutions et organes de l’Union, déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs responsabilités respectives quant au respect des obligations qui leur incombent en matière de protection des données, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées à l’article 79, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs responsabilités respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables conjoints du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

2.   L’accord mentionné au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis de la personne concernée. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

3.   Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

1.   Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du présent règlement et de l’acte juridique instituant le responsable du traitement et garantisse la protection des droits de la personne concernée.

2.   Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3.   Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui définit l’objet, la durée, la nature et la finalité du traitement, le type de données opérationnelles à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

4.   Le contrat ou l’autre acte juridique visé au paragraphe 3 se présente sous forme écrite, y compris sous forme électronique.

5.   Si, en violation du présent règlement ou de l’acte juridique instituant le responsable du traitement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

1.   Le responsable du traitement établit des journaux pour les opérations de traitement ci-après effectuées dans des systèmes de traitement automatisé: la collecte, la modification, la consultation, la communication, y compris les transferts, l’interconnexion et l’effacement des données opérationnelles à caractère personnel et l’accès à celles-ci. Les journaux des opérations de consultation et de communication permettent d’établir le motif, la date et l’heure de ces opérations, l’identification de la personne qui a consulté ou communiqué les données opérationnelles à caractère personnel, ainsi que, dans la mesure du possible, l’identité des destinataires de ces données opérationnelles à caractère personnel.

2.   Les journaux sont utilisés uniquement à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données opérationnelles à caractère personnel et à des fins de procédures pénales. Ces journaux sont effacés au bout de trois ans, sauf s’ils demeurent nécessaires à un contrôle en cours.

3.   Le responsable du traitement met les journaux à la disposition de son délégué à la protection des données et du Contrôleur européen de la protection des données sur demande.

1.   Lorsqu’un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable du traitement effectue préalablement au traitement une analyse de l’impact des opérations de traitement envisagées sur la protection des données opérationnelles à caractère personnel.

2.   L’analyse visée au paragraphe 1 contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données opérationnelles à caractère personnel et à apporter la preuve du respect des règles de protection des données, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

1.   Le responsable du traitement consulte le Contrôleur européen de la protection des données préalablement au traitement qui fera partie d’un nouveau fichier à créer:

2.   Le Contrôleur européen de la protection des données peut établir une liste des opérations de traitement devant faire l’objet d’une consultation préalable conformément au paragraphe 1.

3.   Le responsable du traitement fournit au Contrôleur européen de la protection des données l’analyse d’impact relative à la protection des données visée à l’article 89 et, sur demande, toute autre information afin de permettre au Contrôleur européen de la protection des données d’apprécier la conformité du traitement et, en particulier, les risques pour la protection des données opérationnelles à caractère personnel de la personne concernée et les garanties qui s’y rapportent.

4.   Lorsque le Contrôleur européen de la protection des données est d’avis que le traitement envisagé, visé au paragraphe 1, constituerait une violation du présent règlement ou de l’acte juridique instituant l’organe ou l’organisme de l’Union, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, le Contrôleur européen de la protection des données fournit un avis écrit au responsable du traitement, dans un délai maximum de six semaines à compter de la réception de la demande de consultation. Ce délai peut être prolongé d’un mois, en fonction de la complexité du traitement envisagé. Le Contrôleur européen de la protection des données informe le responsable du traitement de toute prorogation dans un délai d’un mois à compter de la réception de la demande de consultation ainsi que des motifs du retard.

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et les libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données opérationnelles à caractère personnel.

2.   En ce qui concerne le traitement automatisé, le responsable du traitement et le sous-traitant mettent en œuvre, à la suite d’une évaluation des risques, des mesures destinées à:

1.   En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question au Contrôleur européen de la protection des données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification au Contrôleur européen de la protection des données n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2.   La notification visée au paragraphe 1 doit, à tout le moins:

3.   Lorsque, et dans la mesure où, il n’est pas possible de fournir les informations visées au paragraphe 2 en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

4.   Le responsable du traitement documente toute violation de données à caractère personnel visée au paragraphe 1, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet au Contrôleur européen de la protection des données de vérifier le respect du présent article.

5.   Lorsque la violation de données à caractère personnel porte sur des données opérationnelles à caractère personnel qui ont été transmises par les autorités compétentes ou à celles-ci, le responsable du traitement communique les informations visées au paragraphe 2 aux autorités compétentes concernées dans les meilleurs délais.

1.   Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.   La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et les recommandations visées à l’article 92, paragraphe 2, points b), c) et d).

3.   La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

4.   Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, le Contrôleur européen de la protection des données peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une des conditions visées au paragraphe 3 est remplie.

5.   La communication à la personne concernée visée au paragraphe 1 du présent article peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l’article 79, paragraphe 3.

1.   Sous réserve des restrictions et conditions prévues dans les actes juridiques instituant l’organe ou l’organisme de l’Union, le responsable du traitement peut transférer des données opérationnelles à caractère personnel à une autorité d’un pays tiers ou à une organisation internationale, dans la mesure où ce transfert est nécessaire à l’exécution des tâches du responsable du traitement, et uniquement lorsque les conditions fixées au présent article sont remplies, à savoir:

2.   Les actes juridiques instituant les organes et organismes de l’Union peuvent maintenir ou introduire des dispositions plus précises sur les conditions relatives aux transferts internationaux de données opérationnelles à caractère personnel, en particulier sur les transferts faisant l’objet de garanties appropriées et de dérogations pour des situations particulières.

3.   Le responsable du traitement publie sur son site internet et tient à jour une liste des décisions d’adéquation visées au paragraphe 1, point a), des accords, des arrangements administratifs et des autres instruments relatifs au transfert de données opérationnelles à caractère personnel conformément au paragraphe 1.

4.   Le responsable du traitement tient un relevé détaillé de tous les transferts effectués au titre du présent article.

1.   La Commission est assistée par le comité institué par l’article 93 du règlement (UE) 2016/679. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

1.   Le 30 avril 2022 au plus tard, la Commission réexamine les actes juridiques adoptés sur la base des traités qui régissent le traitement de données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’elles exercent des activités qui relèvent du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, afin de:

2.   Sur la base de ce réexamen, pour assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement, la Commission peut présenter des propositions législatives appropriées, notamment en vue d’appliquer le chapitre IX du présent règlement à Europol et au Parquet européen, y compris des adaptations du chapitre IX, si nécessaire.

1.   Le présent règlement ne porte pas atteinte à la décision 2014/886/UE du Parlement européen et du Conseil (20) ni aux mandats actuels du Contrôleur européen de la protection des données et du Contrôleur adjoint.

2.   La fonction de Contrôleur adjoint est considérée comme équivalente à celle de greffier de la Cour en ce qui concerne la détermination du traitement, des indemnités, de la pension d’ancienneté, et de tout autre avantage tenant lieu de rémunération.

3.   L’article 53, paragraphes 4, 5 et 7, et les articles 55 et 56 du présent règlement s’appliquent à l’actuel Contrôleur adjoint jusqu’à la fin de son mandat.

4.   Le Contrôleur adjoint assiste le Contrôleur européen de la protection des données dans l’ensemble de ses fonctions et le supplée en cas d’absence ou d’empêchement jusqu’à la fin du mandat de l’actuel Contrôleur adjoint.

1.   Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2.   Toutefois, le présent règlement s’applique au traitement de données à caractère personnel par Eurojust à partir du 12 décembre 2019.