Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’UE

SYNTHÈSE DU DOCUMENT:

Règlement (UE) 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’UE et à la libre circulation de ces données

QUEL EST L’OBJET DE CE RÈGLEMENT?

Ce règlement:

• définit la façon dont les institutions, organes et organismes de l’Union européenne (UE) doivent traiter les données à caractère personnel* qu’ils détiennent sur des personnes physiques;
• défend les droits et les libertés fondamentaux d’une personne physique, en particulier le droit à la protection des données à caractère personnel et de la vie privée;
• aligne les règles des institutions, organes et organismes de l’UE sur le règlement général sur la protection des données (RGPD) ainsi que sur la directive (UE) 2016/680, connue sous le nom de directive d’application de la loi relative à la protection des données, tous deux applicables depuis mai 2018;
• abroge le précédent règlement (CE) n^o 45/2001 qui comprenait les règles relatives au traitement des données à caractère personnel par les institutions, organes et organismes de l’UE, et garantit le respect des mêmes normes strictes que celles établies par le RGPD;
• abroge la décision n^o 1247/2002/CE concernant le Contrôleur européen de la protection des données (CEPD).

POINTS CLÉS

Les données à caractère personnel doivent être:

• traitées de manière licite, loyale et transparente;
• collectées à des fins déterminées, explicites et légitimes;
• adéquates, pertinentes et limitées à ce qui est nécessaire;
• exactes et, si nécessaire, tenues à jour;
• conservées de telle sorte que les personnes concernées ne peuvent être identifiées plus longtemps que ce qui est nécessaire;
• traitées avec la confidentialité appropriée.

Le responsable du traitement* est chargé de veiller au respect de tous les principes relatifs au traitement des données mentionnés ci-dessus et doit être en mesure de le démontrer.

En outre, les données à caractère personnel:

• peuvent être transmises à un destinataire au sein de l’UE autre qu’une institution, organe ou organisme de l’UE sous réserve qu’il soit soumis à des garanties supplémentaires;
• ne peuvent être transférées en dehors de l’UE qu’en respectant des conditions strictes;
• qui révèlent l’origine raciale ou ethnique d’une personne, ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique n’est pas autorisé, sauf dans des circonstances particulières;
• nécessitent des garanties appropriées dans le cas d’un archivage dans l’intérêt public, à des fins scientifiques, historiques ou statistiques.

Les demandes de consentement auprès d’une personne pour l’utilisation de ses données doivent être aisément accessibles, faciles à comprendre et formulées en des termes clairs et simples. Le consentement de la personne doit être un acte positif et clair.

Les personnes (dites «personnes concernées» selon les termes législatifs) ont le droit:

• de retirer leur consentement à tout moment, aussi simplement que lorsqu’elles l’ont donné;
• d’être informées du traitement éventuel de leurs données à caractère personnel et d’être en mesure d’y avoir accès;
• d’obtenir la correction de toute donnée à caractère personnel qui serait inexacte;
• de supprimer ou de limiter toute donnée à caractère personnel du processus de traitement, sous réserve que certaines conditions soient respectées;
• de recevoir les données à caractère personnel les concernant fournies au responsable du traitement dans un format structuré, couramment utilisé et lisible par machine et les transmettre à un autre responsable du traitement;
• de s’opposer à l’utilisation de leurs données à caractère personnel à des fins d’intérêt public, en raison de leur situation particulière;
• de ne pas être soumises à des décisions fondées uniquement sur un traitement automatisé et qui produit des effets juridiques les concernant;
• de déposer une plainte auprès du CEPD si elles pensent que leurs données à caractère personnel font l’objet d’un traitement qui enfreint le règlement;
• d’être indemnisées pour tout dommage matériel ou immatériel qu’elles subissent en raison des actions d’une institution, d’un organe ou d’un organisme de l’UE;
• de mandater un organisme à but non lucratif pour qu’il introduise une réclamation auprès du CEPD.

Les responsables du traitement:

• doivent informer les personnes concernées en des termes simples et comportant des faits, comme les coordonnées du responsable du traitement et la finalité du traitement des données à caractère personnel, dès lors que des données à caractère personnel sont collectées;
• doivent répondre à toutes les demandes de la part des personnes concernées, comme les demandes d’accès à leurs données à caractère personnel ou leur correction, dès que possible et dans un délai maximal d’un mois;
• doivent appliquer toute mesure technique ou organisationnelle, y compris la pseudonymisation* pour garantir la conformité du traitement des données à caractère personnel au règlement;
• doivent faire appel uniquement à des sous-traitants qui répondent aux exigences de l’UE;
• tiennent un relevé détaillé des traitements de données dont ils ont la charge;
• coopèrent avec le CEPD;
• informent le CEPD et, dans certains cas, également la personne concernée dès que possible de toute violation de données à caractère personnel;
• effectuent une analyse d’impact sur la protection des données pour certains traitements de données à caractère personnel à haut risque;
• garantissent la confidentialité et la sécurité de leurs réseaux de communications électroniques;
• informent le CEPD lorsqu’ils élaborent des mesures administratives ou des règles internes relatives au traitement de données à caractère personnel.

La législation crée la fonction de CEPD. Celui-ci est nommé pour une durée de cinq ans, renouvelable une fois. Établie à Bruxelles, la personne occupant cette fonction:

• agit en toute indépendance;
• est tenue au secret professionnel pour toutes les informations confidentielles qu’elle traite;
• contrôle l’application de la législation par les institutions, organes et organismes de l’UE;
• favorise la sensibilisation du public et sa compréhension du traitement des données à caractère personnel;
• traite les réclamations et effectue les enquêtes nécessaires;
• avertit et sanctionne les responsables des données;
• saisit la Cour, qui traite tout litige relatif à la législation;
• soumet un rapport annuel au Parlement européen, au Conseil et à la Commission européenne;
• coopère avec les autorités de contrôle nationales de la protection des données.

Règlement intérieur du CEPD

Une décision du 15 mai 2020 adopte le règlement intérieur du CEPD. Elle établit en détail:

• la mission, les principes directeurs et l’organisation du CEPD;
• les moyens par lesquels il suit et garantit l’application du règlement;
• les procédures pour sa consultation législative, pour la veille technologique, les projets de recherche et les procédures pénales; et
• les procédures de coopération avec les autorités de surveillance nationale et de coopération internationale.

Règles spéciales pour les institutions, organes et organismes de l’UE

Les règles spéciales s’appliquent aux institutions, organes et organismes de l’UE qui traitent des données opérationnelles à caractère personnel* aux fins de l’application de la loi (par exemple Eurojust). Elles sont couvertes dans un chapitre spécifique du présent règlement. Les règles de ce chapitre sont alignées avec la directive d’application de la loi. En outre, les actes constitutifs de ces organes et organismes comportent des règles propres qui permettent de prendre en compte leurs spécificités.

Le traitement des données opérationnelles à caractère personnel par Europol et le Parquet européen est exclu du champ d’application du règlement et est à la place régi par des dispositions spécifiques dans les actes juridiques les instituant. Toutefois, leur traitement administratif de données à caractère personnel (par exemple, pour la gestion du personnel) est soumis au règlement.

Délégués à la protection des données

Les contrôleurs nomment également un délégué à la protection des données pour une durée de trois à cinq ans qui:

• donne son conseil personnel sur le traitement des données;
• contrôle le respect des règles de protection des données.

Rapports

La Commission européenne doit présenter son premier rapport sur le réexamen du présent règlement au plus tard le 30 avril 2022.

DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?

Il s’applique depuis le 11 décembre 2018, sauf en ce qui concerne le traitement des données à caractère personnel par Eurojust, auquel il s’applique depuis le 12 décembre 2019.

CONTEXTE

L’article 8 de la Charte des droits fondamentaux dispose que toute personne a droit à la protection de ses données à caractère personnel. L’article 16 du traité sur le fonctionnement de l’UE complète ce droit. Cet article constitue la base juridique de toute législation de l’UE relative à la protection des données.

Pour de plus amples informations, veuillez consulter:

• Protection des données dans l’UE (Commission européenne).

TERMES CLÉS

DOCUMENT PRINCIPAL

Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39-98)

DOCUMENTS LIÉS

Décision (UE) 2020/969 de la Commission du 3 juillet 2020 établissant des dispositions d’application concernant le délégué à la protection des données, les limitations des droits des personnes concernées et le règlement (UE) 2018/1725 du Parlement européen et du Conseil et abrogeant la décision 2008/597/CE de la Commission (JO L 213 du 6.7.2020, p. 12-22)

Décision du Contrôleur européen de la protection des données du 15 mai 2020 portant adoption du règlement intérieur du CEPD (JO L 204 du 26.6.2020, p. 49-59)

Décision du Contrôleur européen de la protection des données du 2 avril 2019 portant règles internes relatives à la limitation de certains droits des personnes concernées en matière de traitement des données à caractère personnel dans le cadre des activités menées par le Contrôleur européen de la protection des données (JO L 99I du 10.4.2019, p. 1-7)

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)

Les modifications successives du règlement (UE) 2016/679 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)

Voir la version consolidée.

dernière modification 14.01.2022